La semana pasada, Microsoft actualizó su acuerdo de nivel de servicio público (SLA) para ofrecer un tiempo de actividad del 99,99% para la autenticación de usuarios de Azure AD B2C. Esta decisión es, sin duda alguna, fruto de un año en el que el drástico aumento de la participación digital ha hecho de la seguridad de los clientes una prioridad para Azure AD.
Azure AD B2C, solución de administración de acceso de identidades de clientes (CIAM), es el responsable del escalado y la seguridad de la plataforma de autenticación, así como del control automático de amenazas (denegación de servicio, difusión de contraseñas, ataques por fuerza bruta…) ¿Por qué es tan importante contar con una solución de autenticación fiable?
Las contraseñas: ¿Protegen de verdad o te hacen ser más vulnerable?
Como avanzaba Alex Weinert, director de Identity Security en Microsoft, las contraseñas no son un buen método de protección. Para entender por qué, solo es necesario echar un vistazo a los principales ataques a las contraseñas y cómo el mismo password influye en la ecuación de la que se servirá un atacante para obtener tus datos.
Ya lo explicamos en nuestro artículo sobre la estrategia Zero Trust de Microsoft; los ciberataques ya no son como eran, ahora pueden venir tanto desde el exterior como desde el interior. Por ello, dependiendo del tipo de ataque al que esté sometido tu organización (consideremos, por ejemplo, un ataque de tipo breach), la contraseña no actuará como una barrera de seguridad impenetrable, sino que solo será otro dato muy susceptible de ser adivinado, robado, interceptado o reutilizado.
Esta constante preocupación y frustración de tener que dar con la contraseña perfecta (longitud de los caracteres, combinación de los caracteres, que no se haya utilizado nunca antes…) tiene una fácil solución; apostar por la autenticación multifactor (MFA).
La autenticación multifactor (MFA): La base de una mejor seguridad
Desveló hace poco Satya Nadella que solo un 18% de los usuarios de Microsoft utilizan MFA (Multifactor authentication). Este dato es llamativo, sobre todo si tenemos en cuenta que se trata de una solución incluida en todas las suscripciones comerciales de Microsoft y que, por lo tanto, no comporta ningún coste adicional.
¿Significa esto que la MFA es imposible de vulnerar? No, está claro que ninguna estrategia es la panacea; además, cuanto más evolucionen los métodos de protección, más sofisticados se volverán los ataques que pongan en peligro nuestra seguridad. Sin embargo, no podemos obviar la eficacia de la autenticación multifactor, especialmente cuando la comparamos con otras soluciones como las contraseñas. Según Weiner:
La autenticación multifactor (MFA) es lo mínimo que podemos hacer si nos tomamos en serio la protección de nuestras cuentas. El uso de cualquier cosa más allá de la contraseña aumenta significativamente los costos para los atacantes; por lo que la tasa de compromiso de las cuentas que utilizan cualquier tipo de MFA es inferior al 0,1% de la población general.
La solución para proteger del todo nuestros datos al utilizar la MFA es asegurarnos de que el canal que utilicemos sea completamente seguro. Si usamos, por ejemplo, el correo electrónico o el número de teléfono móvil como mecanismo de recuperación de otras cuentas, cerciorémonos de proteger estos dispositivos con códigos PIN o con estándares de autenticación online como FIDO; un nivel de seguridad independiente del canal de comunicación que resulta extremadamente efectivo para vencer el conocido Channel-Jacking.
¿Qué tipo de autenticación multifactor debo utilizar?
Como podrás intuir después de leer el anterior apartado, algunos tipos de autenticación multifactor son más seguros que otros. Estos son los más habituales:
Según la tabla de Microsoft que analiza las diferentes credenciales y si estas son phishable o Channel-jackable (susceptibles de ser robados a través de diferentes canales) las contraseñas, los PINs, los approvals i los OTP (autenticación de contraseña de un solo uso) son las credenciales más débiles. En el otro extremo de la tabla, las Smartcards, Windows Hello y los tokens FIDO son los métodos más seguros (prácticamente imposibles de vulnerar). Veamos más información sobre estos:
- Smartcards. Estas tarjetas inteligentes virtuales son funcionalmente similares a las tarjetas inteligentes físicas y utilizan un procedimiento de registro seguro para intercambiar claves durante el registro. En algunas tarjetas, tanto el registro como el uso están vinculados al hardware desde el que se intenta el inicio de sesión, lo que las hace imposibles de robar. Al usar dispositivos TPM que proporcionan las mismas capacidades criptográficas que las tarjetas inteligentes físicas, las smartcards logran las tres propiedades clave que se desean para las tarjetas inteligentes; no exportability, criptografía aislada y anti-hammering.
- Windows Hello. Consiste en una plataforma de reconocimiento biométrico, de modo que Windows Hello podrá verificar tu identidad de forma automática utilizando la característica personal que desees. Hablamos, por ejemplo, de un sistema de reconocimiento facial o de huella dactilar, dependiendo del hardware que tengas en tu ordenador.
- FIDO. Las credenciales de inicio de sesión criptográficas FIDO2 son únicas en todos los sitios web. Además, nunca abandonan el dispositivo del usuario y nunca se almacenan en un servidor. Diseñado para eliminar todos los riesgos del phishing y de robo de contraseñas, este método es actualmente uno de los más seguros a nivel mundial.
Si tienes dudas sobre las soluciones propuestas o estás pensando en reforzar la seguridad de tu empresa, ponte en contacto con nosotros a través de: hello@algoritmia8.com. Nuestro equipo de expertos se pondrá en contacto contigo para realizar una auditoría de seguridad y ofrecerte la mejor opción para las características de tu negocio.