7.4.8. AUTENTICACIÓN POR DOS FACTORES.

En todos los accesos con información sensible, debe activarse el doble factor de autenticación (algo que tengo, algo que soy, algo que conozco).

El sistema de autenticación basado en usuario y contraseña sigue siendo el más extendido para acceder a los distintos servicios online. Sin embargo, existen otras formas de autenticarnos en los que interviene otro elemento. Pasamos del «algo que sé», es decir, una contraseña, una clave o un PIN, al «algo que tengo», como por ejemplo, un token USB o una tarjeta de coordenadas.

La utilización de las contraseñas sirve para autentificar al usuario frente al proceso de verificación de identidad de cualquier servicio que lo requiera. De este modo, se asegura que el usuario es realmente quien dice ser y no un impostor. No obstante, no es el único mecanismo que hay para identificar a un usuario. Veamos las diferentes opciones:

Sistemas basados en algo conocido por el usuario. El más utilizado por todos es la contraseña.
Sistemas basados en algo que posee el usuario. Habitualmente se emplean tarjetas de identidad o de coordenadas, o un token (generador de claves) que puede ser físico o virtual.
Sistema basado en características físicas del usuario. Puede ser una huella dactilar, reconocimiento facial o incluso activación por voz.

La primera opción es la principal y más extendida entre la mayoría de usuarios. Se ha convertido en una actividad básica y cotidiana el crearnos una cuenta mediante el uso de un usuario y una contraseña, sin embargo, este proceso presenta una serie de vulnerabilidades:

Relacionadas con la capacidad de los usuarios para crear y recordar largas cadenas de caracteres, así como, varias contraseñas a la vez.
Relacionadas con las técnicas empleadas por los ciberdelincuentes, que cada vez son más sofisticadas y consiguen obtener nuestras claves más fácilmente.

¿Qué es la autenticación de doble o múltiple factor?

La autenticación doble, o verificación en dos pasos, es una capa adicional de seguridad que complementa el uso de una contraseña. Su objetivo es el de asegurarse de que el usuario no solo conoce la contraseña para acceder al servicio, sino que además es quien dice ser aportando en el proceso de logueo información, un código, por ejemplo, sobre algo que solo él posee. Dicha información puede obtenerla de la siguiente forma:

A través de una llamada de teléfono o SMS enviado por el servicio.
Con el uso de una tarjeta inteligente (token) física o virtual.
Mediante un dispositivo biométrico.