Autenticación elevada en la empresa
22 May, 2015
category: Seguridad en Internet, Seguridad lógica
Cómo las corporaciones están permitiendo el acceso a aplicaciones de alta seguridad
Por Mark Diodati, vicepresidente de investigaciones, Gartner
El incremento en el uso de la autenticación adaptativa tiene muchas ramificaciones para la autenticación en general, pero quizás lo más interesante es su impacto en la autenticación elevada. Es ahí donde la elevación tendrá su segundo acto. La autenticación adaptativa utiliza las técnicas de segundo plano para elevar el nivel de aseguramiento de los mecanismos primarios de identificación sin que exista ninguna interacción del usuario, por ejemplo, chequeando una dirección IP, la geolocalización en el teléfono del usuario, etc. ¿Pero qué pasará si ocurre lo inevitable: que la autenticación adaptativa resulte tan buena que se promueva por sí misma como el mecanismo primario de autenticación? Ahí es que la autenticación elevada comenzará su segundo acto, posibilitando que las empresas sitúen otros mecanismos de autenticación para el acceso a información y aplicaciones de mayor seguridad.
El primer acto
Cuando se trata de autenticación, las empresas siempre han estado afectadas por el conflicto “seguridad versus usabilidad”. Los métodos de autenticación tienen que ofrecer garantía suficiente para satisfacer los requisitos de la aplicación. Pero cuando las empresas toman decisiones draconianas en la autenticación, los usuarios se rebelan o encuentran la forma de burlar el sistema de autenticación.
La autenticación elevada nació del debate seguridad versus usabilidad. En lugar de dar a cada aplicación el mismo tratamiento, la autenticación elevada introdujo métodos más estrictos para aplicarlos solamente cuando es necesario, cuando se accede a aplicaciones con niveles más altos de seguridad.
Antes de lograr una amplia implementación, la autenticación elevada requirió el arribo de los sistemas de gestión de acceso web – piense en Netegrity Siteminder, que actualmente es propiedad de CA Technologies. Un motor de política de gestión de acceso web da soporte a múltiples métodos de autenticación y puede clasificarlos en orden de seguridad. El administrador asigna también niveles de seguridad a las aplicaciones, lo que permite un enfoque escalonado para la autenticación en general, y en particular para la autenticación elevada. Si un usuario trata de acceder a una aplicación de alta seguridad sin utilizar el método adecuado, el sistema de gestión de acceso web le pide que vuelva a autenticarse.
Ejemplo tradicional de autenticación elevada
Hay muchos ejemplos de autenticación elevada y esta sigue siendo parte de la estrategia de autenticación empresarial. Suponga que usted tiene un entorno en que los usuarios se autentican con una contraseña en un directorio activo en su estación de trabajo vinculada a un dominio. El directorio activo envía de retorno credenciales Kerberos que se usarán para acceder a aplicaciones.
Cuando el usuario trata de acceder a la aplicación protegida por gestión de acceso web, la credencial Kerberos es presentada como prueba de autenticación. El sistema emite un cookie HTTP que proporcionará el acceso a otras aplicaciones protegidas. El usuario puede acceder a sucesivas aplicaciones de baja seguridad sin volver a autenticarse. Pero cuando el usuario trata de acceder a una aplicación protegida con Gestión de Acceso Web – tales como aplicaciones financieras o de recursos humanos – se le pide que utilice un método de autenticación de mayor seguridad, como por ejemplo, una contraseña de un solo uso desde un dispositivo móvil.
Después de la primera autenticación elevada, el usuario puede acceder a otras aplicaciones de mayor seguridad sin reautenticarse. Si la primera autenticación del usuario al sistema de gestión de acceso web es mediante OTP, entonces el usuario puede acceder tanto a las aplicaciones de baja como de alta seguridad sin volver a autenticarse.
Con el fin de minimizar preocupaciones de usabilidad, el método de autenticación elevada se utiliza solo cuando se requiere. También puede estar vinculado a situaciones o usuarios específicos. Por ejemplo, muchas organizaciones fuerzan una autenticación elevada en base al reconocimiento de red, como en el caso de que el usuario es remoto. De forma similar, la autenticación elevada puede obedecer a los privilegios de usuario, y los usuarios de altos privilegios son forzados a elevación.
Eliminando la autenticación por contraseña de las alternativas
Hasta ahora la autenticación adaptativa se ha utilizado en segundo plano para incrementar el nivel de seguridad que proporcionan las contraseñas. Pero las técnicas de autenticación adaptativa están ampliando su alcance y experimentando mejoras a través de técnicas de grandes datos. ¿Qué puede entonces impedir que la autenticación adaptativa salga del trasfondo y reemplace las contraseñas para aplicaciones de menor seguridad? En otras palabras, ¿qué pasará si se mantienen los niveles de protección a la identidad y se mejora la usabilidad sustituyendo la autenticación de contraseñas por la autenticación adaptativa? Podrían producirse grandes beneficios para la usabilidad, ya que los usuarios reciben el acceso a la aplicación sin someterse a un proceso obvio de autenticación. Pero esto no significa que sea la respuesta universal para todos los retos de la autenticación. En definitiva, las tecnologías más fuertes – como OTP, tarjetas inteligentes y móviles – serán necesarias para las aplicaciones de alta seguridad.
El segundo acto
Si las técnicas de autenticación adaptativa pasan a sustituir las contraseñas, se producirá un incremento en el uso de la autenticación elevada aprovechando el espacio de la autenticación adaptativa. Como los usuarios inevitablemente chocan con aplicaciones de alta seguridad, la autenticación adaptativa inicial no se ajustará y los usuarios se verán forzados a elevar. Para dar soporte a los numerosos casos de uso de los consumidores, se ha de necesitar una selección de métodos de autenticación elevada.
Una pequeña elevación llega muy lejos
Por definición, la autenticación elevada se debe usar con mesura. Su empleo ha de ser menos frecuente en comparación con un método primario de autenticación, ya sea algo tradicional como una contraseña o algo más avanzado como la adaptativa. Porque si una empresa presiona mucho a sus usuarios a realizar actividades de autenticación elevada, estos pueden hacer crisis.
En esas circunstancias, es mejor que la empresa convierta el método de autenticación elevada en su método primario. Al hacerlo, mejora la usabilidad reduciendo el número de autenticaciones de usuario y las interacciones entre aplicaciones que puedan resultar confusas.
A modo de resumen
Una sola medida no sirve para todos los métodos de autenticación, y esto es particularmente cierto cuando sus usuarios son consumidores en lugar de empleados. Para apoyar a esos usuarios hacen falta múltiples métodos de autenticación elevada.
La adopción adaptativa está en aumento, no solo para la autenticación en segundo plano, sino pasando a formar parte de las alternativas principales para reemplazar métodos primarios de autenticación, como las contraseñas. Cuando esto ocurra, el uso de la autenticación adaptativa como mecanismo primario de autenticación posiblemente traiga como resultado una implementación más amplia de los métodos de autenticación elevada.