Todos sabemos que la autenticación de dos factores (2FA) brinda una capa adicional de seguridad que las contraseñas por sí solas no pueden brindar. Antes de pronunciarnos a favor o en contra de que los SMS sean una herramienta segura y eficaz, debemos evaluar las distintas opciones y lo buenas o malas que son. Entonces, profundicemos más y veamos las diversas opciones que tenemos además de SMS:
- Token de seguridad (token estático/basado en reloj)
- Autenticación basada en IP
- Códigos token de generación de aplicaciones móviles
- Soluciones de identidad móvil
Recientemente, en India, hemos observado algunos casos de uso interesantes de autenticación de dos factores (2FA). Un banco en la India, de hecho, el banco más grande del sector público, ha hecho obligatoria la 2FA para cualquier transacción de alto valor en un cajero automático (podemos denominar una instancia de este tipo como 2FA física porque esta transacción no se inicia en el teléfono/dispositivo de un usuario).
Ahora bien, si dejamos de lado los siete u ocho principales países desarrollados, entenderemos que la penetración de los teléfonos inteligentes en la mayoría de los países está alrededor o por debajo del 40 %. Para todas esas transacciones, los SMS seguirán siendo la mejor opción para la autenticación de 2 factores. No estoy haciendo un punto coercitivo aquí y no sugiriendo que SMS es la mejor herramienta para habilitar 2FA. Sin embargo, citando una investigación realizada recientemente que dice que SMS pudo bloquear el 96% de los ataques de phishing hasta el momento. Claramente no es la mejor opción, pero cuando está implementando 2FA para escalar, tiene opciones limitadas y SMS es una de ellas.
Si echamos un vistazo rápido a otras opciones de habilitación de 2FA, la primera es un token de seguridad. Podemos usar un token de seguridad (hardware) que viene con 10 a 15 códigos de token prealimentados que tampoco ofrecen una seguridad sólida. La otra opción es un token de seguridad basado en reloj que viene con una deficiencia inherente de sincronización periódica con los servidores host. A menudo, esta sincronización falla y esta opción se descarta.
Autenticación basada en IP es otra opción Sin embargo, viene con la rigidez de no permitir el uso de una aplicación o servicios de correo electrónico a través de múltiples dispositivos. Por lo tanto, es un gran NO-NO, especialmente para los usuarios de correo electrónico que cambian de dispositivo para acceder a su cuenta de correo electrónico.
Aplicación móvil generadora de tokens es una herramienta, sinónimo de Google Authenticator, que ha demostrado ser muy eficaz para bloquear el phishing. Sin embargo, no se han implementado suficientes iniciativas para educar a los usuarios sobre las diversas aplicaciones que las personas pueden usar para 2FA y sus ventajas sobre sus pares convencionales. Aquí también, existe una gran aprensión entre las personas por descargar una nueva aplicación y los desafíos que conlleva alternar entre dos pantallas para completar una transacción. Estas son algunas de las razones por las que las personas no aceptan una solicitud de 2FA. Algunas personas que han adoptado fácilmente Google Authenticator se han quejado de su función de sincronización de tiempo.
Ahora, cambiemos un poco nuestro enfoque y hablemos de las soluciones de identidad móvil multifacéticas. En Route Mobile hemos desarrollado nuestra propia solución de identidad móvil programable conocida como MIDaaS. Junto con la autenticación y la autorización, esta solución puede aportar otros beneficios de seguridad para las empresas. Mobile Identity puede verificar hasta 11 parámetros que confirman la identidad de un usuario mientras intenta acceder a una aplicación o cualquier otro servicio. Puede autenticar una transacción utilizando información muy básica como nombre, número de teléfono móvil, dirección y fecha de nacimiento, etc.
Todos sabemos que, ya sea una aplicación social, una aplicación bancaria o una cuenta de correo electrónico, la mayoría de estas tienen la información básica del usuario precargada. Con solo hacer clic en un botón, el operador de telecomunicaciones puede verificar la identidad del usuario, protegiendo así la cuenta contra posibles amenazas. La identidad móvil, como sugiere el nombre, se puede usar solo para una autorización móvil de 2 factores.
Antes de concluir, entendamos que, además de SMS e identidad móvil, la mayoría de las otras opciones dependen del conocimiento de los usuarios y su inclinación hacia esa herramienta o aplicación. Por lo tanto, desde la perspectiva de una empresa de telecomunicaciones o de un jugador de CPaaS, veo que Mobile Identity encaja perfectamente con 2FA y si 2FA se implementará a escala, veo Mobile Identity y SMS como una buena combinación.
-
Autor