Autentificació de doble factor

L'autenticació de doble factor és un mètode d'autenticació electrònica en el qual es concedeix a l'usuari de l'ordinador accés a un lloc web o a una aplicació després de presentar amb èxit dues o més proves (o factors) a un mecanisme d'autenticació: coneixement (cosa que només coneix l'usuari), possessió (cosa que només té l'usuari) i inherència (cosa que només té l'usuari). Protegeix l'usuari d'una persona desconeguda que intenta accedir a les seves dades, com ara dades d'identificació personal o actius financers.

L'autenticació de dos factors (també coneguda com a 2FA) és un tipus o subconjunt d'autenticació de múltiples factors. És un mètode per confirmar les identitats reclamades pels usuaris mitjançant una combinació de dos factors diferents: 1) quelcom que saben, 2) quelcom que tenen o 3) quelcom que són. Una aplicació d'autenticació de tercers (TPA) permet l'autenticació de dos factors, normalment mostrant un codi generat aleatòriament i actualitzat constantment, que l'usuari pot utilitzar.

La verificació en dos passos o l'autenticació en dos passos és un mètode per confirmar la identitat d'un usuari mitjançant una cosa que saben (contrasenya) i un segon factor, que pot ser quelcom que tinguin o alguna cosa que siguin.

Factors d'autenticació

L'autenticació té lloc quan algú intenta iniciar la sessió en un recurs informàtic (com ara una xarxa, un dispositiu o una aplicació). El recurs requereix que l'usuari proporcioni la identitat per la qual el reconeix, juntament amb proves de l'autenticitat de la reclamació de l'usuari sobre aquesta identitat. L'autenticació simple requereix només una prova (factor) d'aquest tipus, normalment una contrasenya. Per a una seguretat addicional, el recurs pot requerir més d'un factor: autenticació de múltiples factors o autenticació de dos factors en els casos en què s'hagin de proporcionar exactament dues proves.^[1]

L'ús de múltiples factors d'autenticació per demostrar la pròpia identitat es basa en la premissa que és improbable que un actor no autoritzat pugui proporcionar els factors necessaris per accedir-hi. Si, en un intent d'autenticació, falta almenys un dels components o es proporciona incorrectament, la identitat de l'usuari no s'estableix amb la suficient seguretat i l'accés al recurs (per exemple, un edifici o dades) protegit mitjançant autenticació multifactor, continua bloquejat. Els factors d'autenticació d'un esquema d'autenticació de múltiples factors poden ser: 

• Alguna cosa que teniu: algun objecte físic en poder de l'usuari, com ara un testimoni de seguretat (memòria USB), una targeta bancària, una clau, etc.
• Alguna cosa que sabeu: certs coneixements només coneguts per l'usuari, com ara una contrasenya, PIN, TAN, etc.
• Alguna cosa que sou: Algunes característiques físiques de l'usuari (biomètrica), com ara empremta digital, iris d'ulls, veu, velocitat d'escriptura, patró en intervals de premsa de tecles, etc.
• En algun lloc que esteu: Connexió a una xarxa informàtica específica o mitjançant un senyal GPS per identificar la ubicació.^[2]

Un bon exemple d'autenticació de dos factors és la retirada de diners d'un caixer automàtic: només la combinació correcta d'una targeta bancària (una cosa que posseeix l'usuari) i un PIN (una cosa que l'usuari sap) permet realitzar la transacció. Dos altres exemples són complementar una contrasenya controlada per l'usuari amb una contrasenya única (OTP) o un codi generat o rebut per un autenticador (per exemple, un testimoni de seguretat o un telèfon intel·ligent) que només posseeix l'usuari. 

Una aplicació d'autenticació de tercers permet l'autenticació de dos factors d'una manera diferent, generalment mostrant un codi generat aleatòriament i refrescat constantment, que l'usuari pot utilitzar, en lloc d'enviar un SMS o utilitzar un altre mètode. Un gran avantatge d'aquestes aplicacions és que normalment continuen funcionant fins i tot sense connexió a Internet. Alguns exemples d'aplicacions d'autenticació de tercers són Google Authenticator, Authy i Microsoft Authenticator; alguns gestors de contrasenyes com LastPass també ofereixen aquest servei.^[3]

Un exemple d'un segon pas en la verificació o autenticació en dos passos és que l'usuari repeteixi alguna cosa que se li ha enviat mitjançant un mecanisme fora de banda (com ara un codi enviat per SMS) o un número generat per una aplicació que és comú a l'usuari i al sistema d'autenticació.^[4]

Factors de coneixement

Els factors de coneixement són la forma d'autenticació més utilitzada. En aquest formulari, l'usuari ha de demostrar el coneixement d'un secret per tal d'autenticar-se.

Una contrasenya és una paraula secreta o una cadena de caràcters que s'utilitza per a l'autenticació de l'usuari. Aquest és el mecanisme d'autenticació més utilitzat. Moltes tècniques d'autenticació amb múltiples factors es basen en la contrasenya com a factor d'autenticació. Les variacions inclouen tant les més llargues formades per diverses paraules (una frase de contrasenya) com el número d'identificació personal (PIN) més curt, purament numèric, que s'utilitza habitualment per accedir a un caixer automàtic. Tradicionalment, s'espera que es memoritzin les contrasenyes.

Moltes preguntes secretes com ara "On vas néixer?" són pobres exemples d'un factor de coneixement perquè poden ser coneguts per un ampli grup de persones o ser investigats.

Factors de possessió

Els factors de possessió ("alguna cosa que només té l'usuari") s'han utilitzat durant segles per a l'autenticació, en forma de clau d'un pany. El principi bàsic és que la clau encarna un secret que es comparteix entre el pany i la clau, i el mateix principi es basa en l'autenticació del factor de possessió en sistemes informàtics. Un testimoni de seguretat és un exemple de factor de possessió.

Testimonis sense connexió

 

Testimoni (token) RSA SecurID, un exemple de generador de testimonis sense connexió

Els testimonis sense connexió no tenen connexions amb l'ordinador client. Normalment utilitzen una pantalla integrada per mostrar les dades d'autenticació generades, que l'usuari escriu manualment.^[5]

Testimonis connectats

Els testimonis connectats són dispositius que es connecten físicament a l'ordinador que s'utilitzarà. Aquests dispositius transmeten dades automàticament.^[6] Hi ha diversos tipus, inclosos lectors de targetes, etiquetes sense fils i testimonis USB.

Testimonis de programari

Un testimoni de programari (també conegut com a testimoni sua) és un tipus de dispositiu de seguretat d'autenticació de dos factors que es pot utilitzar per autoritzar l'ús de serveis informàtics. Les fitxes de programari s'emmagatzemen en un dispositiu electrònic d'ús general, com ara un ordinador de sobretaula, un ordinador portàtil, un PDA o un telèfon mòbil i es poden duplicar. (En contraposició, els testimonis de maquinari, les credencials s'emmagatzemen en un dispositiu de maquinari dedicat i, per tant, no es poden duplicar, sense la invasió física del dispositiu.) Un testimoni suau pot no ser un dispositiu on l'usuari interactuÏ. Normalment, un certificat X.509v3 es carrega al dispositiu i s'emmagatzema de manera segura per complir aquest propòsit.

Factors inherents

Aquests són factors associats a l'usuari i solen ser mètodes biomètrics, inclosos el reconeixement d'empremtes digitals, de la cara, de la veu o de l'iris. També es poden fer servir dades biomètriques del comportament, com ara la dinàmica de les pulsacions de tecles.

Factors basats en la ubicació

Cada vegada entra en joc un quart factor que implica la ubicació física de l'usuari. Tot i que està connectat a la xarxa corporativa, es pot permetre a un usuari iniciar sessió només mitjançant un codi pin mentre que fora de la xarxa també es pot requerir un codi des d'un testimoni suau. Això es podria convertir en un estàndard fiable per controlar l'accés a l'oficina.

Els sistemes per al control d'admissió de xarxa funcionen de maneres similars, on el vostre nivell d'accés a la xarxa pot dependre de la xarxa específica a la qual estigui connectat el dispositiu, com ara la connectivitat wifi o per cable. Això també permet a l'usuari moure's entre oficines i rebre dinàmicament el mateix nivell d'accés a la xarxa de cadascuna d'elles.

Ús de telèfons mòbils

Molts proveïdors d'autenticació multifactor ofereixen autenticació basada en telèfons mòbils. Alguns mètodes inclouen autenticació basada en push, autenticació basada en codi QR, autenticació única amb contrasenya (basada en esdeveniments i basada en temps) i verificació basada en SMS. La verificació basada en SMS té alguns problemes de seguretat. Els telèfons es poden clonar, les aplicacions es poden executar en diversos telèfons i el personal de manteniment de telèfons mòbils pot llegir textos SMS. No menys important, els telèfons mòbils es poden comprometre en general, de manera que el telèfon ja no és cosa que només té l'usuari.

El principal inconvenient de l'autenticació, inclòs el que posseeix l'usuari, és que aquest ha a sobre ell testimoni físic (la memòria USB, la targeta bancària, la clau o similar), pràcticament en tot moment. La pèrdua i el robatori són riscos. Moltes organitzacions prohibeixen el transport d'USBs i dispositius electrònics dins o fora de les oficines a causa del risc de robatori de dades i malware i, per aquesta raó, les màquines més importants no tenen ports USB. Els testimonis físics normalment requereixen un testimoni nou per a cada compte i sistema. La compra i posterior substitució de testimonis d'aquest tipus comporta costos. A més, hi ha conflictes inherents i compromisos inevitables entre usabilitat i seguretat.^[7]

L'autenticació en dos passos que inclou telèfons mòbils i telèfons intel·ligents proporciona una alternativa als dispositius físics dedicats. Per autenticar-se, les persones poden utilitzar els seus codis d'accés personals al dispositiu (és a dir, quelcom que només sap l'usuari individual), a més d'una contrasenya dinàmica vàlida d'una sola vegada, que consta normalment de 4 a 6 dígits. La contrasenya es pot enviar al seu dispositiu mòbil ^[8] per SMS o es pot generar mitjançant una aplicació generadora de contrasenya única. En ambdós casos, l'avantatge d'utilitzar un telèfon mòbil és que no cal cap testimoni dedicat addicional, ja que els usuaris solen transportar els seus dispositius mòbils en tot moment.

Dades de 2018 diuen que l'SMS és el factor de doble autentificació més utilitzat per comptes orientats al consumidor. Malgrat la popularitat de la verificació per SMS, els defensors de la seguretat ho han criticat públicamentt^[9] i el juliol del 2016 un esborrany d'Institut Nacional d'Estàndards i Tecnologia dels Estats Units (NIST) proposava eliminar l'ús de l'SMS com un sistema vàlid d'autentificació.^[10] Un any després, el NIST va tornar a acceptar l'SMS com un sistema válid.^[11]

El 2016 i el 2017 respectivament, tant Google com Apple van començar a oferir als usuaris una autenticació en dos passos amb notificació push com a mètode alternatiu.^[12][13]

La seguretat dels testimonis de seguretat lliurades per mòbil depèn totalment de la seguretat operativa de l'operador de telefonia mòbil i es pot incomplir fàcilment mitjançant les escoltes telefòniques o la clonació de SIM per part de les agències de seguretat nacionals.^[14]

Avantatges

• No són necessaris testimonis addicionals, ja que utilitza dispositius mòbils que (normalment) es porten sempre a sobre.
• Com que es canvien constantment, els codis de pas generats dinàmicament són més segurs d'utilitzar que la informació d'inici de sessió fixa (estàtica).
• Depenent de la solució, els codis de pas que s'han utilitzat se substitueixen automàticament per garantir que sempre hi hagi un codi vàlid, els problemes de transmissió / recepció no impedeixen la connexió.

Desavantatges

• És possible que els usuaris siguin susceptibles a atacs de pesca. Un atacant pot enviar un missatge de text que enllaci a un lloc web falsificat que sembli idèntic al lloc web real. L'atacant pot obtenir el codi d'autenticació, el nom d'usuari i la contrasenya.^[15]
• Els telèfons mòbils no sempre estan disponibles: es poden perdre, robar, tenir la bateria descarregada o no funcionar.
• La recepció de telèfons mòbils no sempre està disponible; àmplies zones, sobretot fora de les ciutats, no tenen cobertura.
• La clonació de SIM permet als pirates informàtics accedir a les connexions de telefonia mòbil. Els atacs d'enginyeria social contra empreses d'operadors de telefonia mòbil han provocat el lliurament de targetes SIM duplicades a delinqüents.^[16]
• Els missatges de text als telèfons mòbils mitjançant SMS no són segurs i poden ser interceptats pels captors IMSI. Així, tercers poden robar i utilitzar el testimoni.^[17]
• La recuperació del compte sol evitar l'autenticació de dos factors del telèfon mòbil.^[18]
• Els telèfons intel·ligents moderns s'utilitzen tant per rebre correus electrònics com per SMS. Per tant, si es perd o es roba el telèfon i no està protegit per cap contrasenya ni biomètric, es poden piratejar tots els comptes dels quals el correu electrònic és clau, ja que el telèfon pot rebre el segon factor.
• Els operadors de telefonia mòbil poden cobrar a l'usuari les despeses de missatgeria.

Referències

1. «Two-factor authentication: What you need to know (FAQ) – CNET». CNET. [Consulta: 31 octubre 2015].
2. (tesi) (en anglès), 2005. 
3. Barrett, Brian. «How to Secure Your Accounts With Better Two-Factor Authentication». Wired. [Consulta: 12 setembre 2020].
4. «Two-Step vs. Two-Factor Authentication - Is there a difference?». Information Security Stack Exchange. [Consulta: 30 novembre 2018].
5. Press, Gil. «141 Cybersecurity Predictions For 2020» (en anglès). Forbes. [Consulta: 18 desembre 2019].
6. van Tilborg. Encyclopedia of Cryptography and Security, Volume 1. Springer Science & Business Media, 2011, p. 1305. ISBN 9781441959058. 
7. Anonymous Two-Factor Authentication in Distributed Systems: Certain Goals Are Beyond Attainment. 
8. Rosenblatt, Seth. «Two-factor authentication: What you need to know (FAQ)» (en anglès). CNET. [Consulta: 27 setembre 2020].
9. Andy Greenberg Wired, 26-06-2016 [Consulta: 12 maig 2018].
10. «NIST is No Longer Recommending Two-Factor Authentication Using SMS». Schneier on Security, 03-08-2016. [Consulta: 30 novembre 2017].
11. «Rollback! The United States NIST no longer recommends “Deprecating SMS for 2FA”», 06-07-2017. [Consulta: 21 maig 2019].
12. Tung, Liam. «Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in». ZD Net. ZD Net. [Consulta: 11 setembre 2017].
13. Chance Miller. «Apple prompting iOS 10.3». 9to5 Mac. 9to5 Mac, 25-02-2017. [Consulta: 11 setembre 2017].
14. «How Russia Works on Intercepting Messaging Apps – bellingcat» (en anglès). bellingcat, 30-04-2016. Arxivat de l'original el 2016-04-30. [Consulta: 30 abril 2016].
15. «Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise». PC Mag, 07-03-2019 [Consulta: 9 setembre 2019].
16. tweet_btn(), Shaun Nichols in San Francisco 10 Jul 2017 at 23:31. «Two-factor FAIL: Chap gets pwned after 'AT&T falls for hacker tricks'». [Consulta: 11 juliol 2017].
17. Toorani, Mohsen. «SSMS - A secure SMS messaging protocol for the m-payment systems». A: 2008 IEEE Symposium on Computers and Communications, 2008, p. 700–705. DOI 10.1109/ISCC.2008.4625610. ISBN 978-1-4244-2702-4. 
18. Rosenblatt, Seth. «Two-factor authentication: What you need to know (FAQ)». CNET, 15-06-2015. [Consulta: 17 març 2016].

Enllaços externs

• Els atacants van incomplir els servidors de RSA i van robar informació que es podria utilitzar per comprometre la seguretat de les fitxes d'autenticació de dos factors utilitzades per 40 milions d'empleats (register.com, 18 de març de 2011)
• Els bancs utilitzaran l'autenticació de dos factors abans de finals del 2006 (slashdot.org, 20 d'octubre de 2005)
• Llista de llocs web d'ús habitual i si admeten o no l'autenticació de dos factors
• Microsoft abandonarà les contrasenyes, Microsoft es prepara per bolcar les contrasenyes a favor de l'autenticació de dos factors en properes versions de Windows (vnunet.com, 14 de març de 2005)