Autenticación de 2 Factores (A2F) vs Verificación de 2 Pasos (V2P)

¿Cuál es la diferencia entre A2F y V2P? ¿Y cuál es mejor?

A medida que avanzamos en nuestras vidas online, muchos de nosotros hemos considerado la posibilidad de habilitar la autenticación de dos factores (A2F) o la verificación en dos pasos (V2P) en nuestras cuentas. Ambas medidas introducen otro elemento en el proceso de inicio de sesión de un servicio. Por esa razón, he leído en un montón de blogs y notas en línea de que no hay diferencia entre los dos conceptos.

Pero esas afirmaciones son equivocadas.

En este post, voy a dejar en claro las diferencias A2F y V2P

¿Qué es un factor de autenticación?

Antes de profundizar en la diferencia entre A2F y V2P, es importante primero tocar lo que sucede cuando nos logueamos en una cuenta.

Cada proceso de inicio de sesión depende de que el usuario envíe un factor de autenticación o, como lo indica SearchSecurity, una “categoría independiente de credencial utilizada para la verificación de identidad”.

Los factores de autenticación vienen en tres tipos diferentes: factores de conocimiento (“algo que sabes”), factores de posesión (“algo que tienes”) y factores inherentes (“algo que eres”).

La debilidad de la contraseña

La mayoría de las cuentas online de hoy están configuradas para admitir la autenticación de factor único (AFU) de forma predeterminada. Esas cuentas más a menudo requieren que un usuario presente un factor de conocimiento en forma de contraseña.

Por ahora, todos estamos familiarizados con cómo las contraseñas inadecuadas pueden ser para proteger nuestras cuentas.

Esta inseguridad se basa en las exigencias de la seguridad de contraseña robusta: en primer lugar, los usuarios deben aceptar la responsabilidad de crear contraseñas complejas y largas que son únicas para cada una de sus cuentas; Y en segundo lugar, deben comprometer esas contraseñas a la memoria o almacenarlas en algún lugar seguro; Y en tercer lugar, si un sitio está comprometido, necesitan cambiar sus contraseñas a una combinación similarmente larga y compleja.

Todos estos pasos tienen ciertos costos.

Los seres humanos son notoriamente malos ideando contraseñas que son lo suficientemente fuertes y difíciles de romper. Afortunadamente, algunos gestores de contraseñas como Dashlane, LastPass y 1Password tienen la capacidad de generar contraseñas seguras para el usuario.

Los seres humanos normalmente encuentran que las contraseñas “seguras” son difíciles de recordar y toman tiempo para introducir manualmente caracteres por caracteres en un teclado. Para responder a esa dificultad, hay ahora una serie de gestores de contraseñas que almacenan y llenan automáticamente las contraseñas complejas de los usuarios a través de las extensiones del navegador. Sin embargo, muchos de estos servicios requieren una suscripción paga – algo en el que algunos usuarios no quieren invertir.

Por último, cambiar las contraseñas después de un susto de seguridad es una carga de tiempo. Normalmente no es un proceso automático, aunque algunos gestores de contraseñas están empezando a ofrecer dicha funcionalidad en una lista cada vez mayor pero seleccionada de sitios.

Por todas estas razones, los usuarios pueden optar por escatimar seguridad en su contraseña. Los servicios web reconocen esta tendencia. Algunos han optado por formas más seguras de AFU, como la biometría. Otros han respondido implementando A2F o V2P. Unos pocos seleccionados han hecho ambas cosas.

V2P: una expansión de AFU

La verificación en dos pasos es quizás la forma más fácil por la cual los servicios web pueden responder a los costos de la AFU basada en contraseña. Una manifestación común de esta característica (si se activa en una cuenta) se realiza de la siguiente manera: al introducir su nombre de usuario y contraseña, se le envía un código único por correo electrónico, SMS o llamada telefónica a su computadora o dispositivo previamente verificado. Debe ingresar ese código dentro de un período de tiempo especificado para poder acceder a su cuenta. Si no lo hace, el código caduca y necesitará que le envíen otro código.

Como el usuario llamado “tyler1”, señala en un foro de discusión de StackExchange, este método de inicio de sesión puede parecer a primera vista que la autenticación de dos factores.

Pero no lo es.

A pesar de que usted no sabe de antemano el código, el código no es fundamentalmente diferente a la contraseña. De hecho, ellos pertenecen al mismo factor de autenticación: ambos son piezas de información, es decir, “algo que sabes.”

Con esto en mente, la verificación en dos pasos (o multi-pasos) simplemente expande AFU requiriendo que el usuario envíe varias ocurrencias de verificación distintas que caen bajo el mismo de los tres factores de autenticación discutidos anteriormente.

Y, como hemos visto en los últimos ataques de malware, se está creando malware para interceptar los tokens de verificación de 2 pasos, que son enviados al usuario y se comparten con los ciber criminales.

A2F: Un juego totalmente nuevo

Ahora, pueden tener una idea de cómo la autenticación de dos factores difiere de V2P.

En lugar de basarse en AFU, A2F requiere que un usuario introduzca dos verificaciones distintas que cada una pertenece a su propia categoría de credenciales. Esto puede tomar la forma de un usuario introduciendo una contraseña (“algo que usted sabe”) seguido de presionar su pulgar en un escáner de huellas dactilares (“algo que usted es”).

También puede consistir en cosas de thrillers espías: alguien golpea su tarjeta en un mecanismo de bloqueo de la puerta (“algo que tiene”) y luego tiene sus iris verificado por un escáner de ojos (“algo que eres”).

Las SmartCards y Yubikeys se pueden añadir a la lista de posibles combinaciones A2F.

La quintaesencia es que la autenticación de dos factores depende de la realidad de que es más difícil para un atacante comprometer dos factores de autenticación en lugar de uno solo, como el conocimiento que se requiere para que alguien ingrese su contraseña y un código SMS generado. Con esto en mente, es razonable decir que cuando se implementa correctamente, A2F es más seguro que V2P en-tanto, ya que introduce un factor adicional de autenticación.

Conclusión

Ahí tienen. Si bien la verificación en dos pasos simplemente expande la AFU al requerir dos verificaciones distintas de un factor de autenticación, la autenticación de dos factores requiere dos apariciones, cada una perteneciente a una categoría diferente de credencial.

Ahora conocemos cuales son las diferencias entre A2F y V2P.

Leave a Reply

Your email address will not be published. Required fields are marked *
You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">