Autenticación por pasos brinda mayor seguridad a credenciales de medios sociales
26 June, 2015
category: Identificación digital
Se habla mucho acerca de la posibilidad de librarnos de las contraseñas y emitir credenciales de identidad de alta seguridad para acceder a la información. Sin embargo, un obstáculo fundamental en esta ecuación es poner esas credenciales en manos de los consumidores. Pedirle a los consumidores que se dirijan a una ubicación física para solicitar credenciales es algo que, por un problema práctico, no es una opción. Y en el supuesto caso de que lo hicieran, resultaría increíblemente costoso en tiempo y dinero.
En lugar de ello, muchos sitios están comenzando a introducir autenticación por pasos (Step-up auth). Esto le permite al consumidor utilizar una identidad que ya tiene – Google, Facebook, Twitter, etc. – responder algunas preguntas y obtener un nivel incrementado de seguridad asociado con la credencial ante varias partes confiantes que decidan aceptarlo.
La idea básica es permitirle a los clientes que hagan cosas simples sin mucha complicación, pero cuando el nivel de riesgo sube, igualmente tiene que incrementarse la protección de la identidad. “Step-up lo que hace es ofrecer niveles más altos de seguridad y bajos niveles de molestia para los usuarios”, explica Mary Ruddy, directora de investigaciones en Gartner. “En lugar de hacer que al persona realice muchísimo trabajo por adelantado, se deja que la persona entre y haga cosas sencillas, y si quieren hacer algo más sensible, se le pide más información”.
Estudio de caso: ID.me
ID.me emplea la autenticación por pasos (step-up) para ofrecer niveles más altos de protección a sus usuarios, expone Matt Thompson, director de operaciones de ese proveedor de credenciales digitales. Es una de tres compañías – junto con Verizon y Symantec – aprobada para ofrecer credenciales no-PKI del nivel uno al tres para su uso en sitios del gobierno federal.
La compañía comenzó verificando los beneficios para los veteranos, permitiéndoles ser identificados en sitios web y recibir descuentos sin tener que dar más datos de los necesarios. Posteriormente ampliaron la oferta, permitiendo que los estudiantes, maestros y personal de respuesta rápida pudiera solicitar y recibir descuentos. Recientemente, la compañía abrió el servicio de credenciales para todos. Hasta ahora, ID.me ha emitido más de 1 millón, y los consumidores pueden utilizarla para servicios que van desde la compra en Internet con descuentos hasta el acceso a servicios web gubernamentales seguros.
“Comenzamos permitiéndole a la gente que demostrara un atributo específico para poder recibir descuentos y beneficios”, explica Thompson. “Ahora hemos ampliado la red, y las personas pueden utilizar ID.me y ya no es solo para Asuntos de los Veteranos”. Una subvención de $1,2 millones de la Estrategia Nacional para Identidades de Confianza en el Ciberespacio le permitió a ID.me abrir el sitio y añadir el elemento de protección de la identidad, dice Thompson. Con el sitio, sus miembros tienen la opción de incrementar los pasos para fortalecer su autenticación. Lo que el individuo quiere hacer con su credencial es lo que dicta el nivel de protección, señala. “Hacer una compra o verificar que la persona es un veterano es algo diferente de lo que requiere alguien que necesita una credencial de nivel tres para acceder a un sitio de gobierno”, añade.
He aquí como funciona normalmente la autenticación por pasos. Un consumidor accede a un sitio que requiere una credencial de alta seguridad, primeramente selecciona un proveedor de credencial. Por ejemplo, si escoge una credencial ID.me y todavía no la tiene, se le pide que escoja un nombre de usuario y contraseña. Se le envía después un e-mail al usuario a modo de confirmación. El usuario hace clic en el enlace para validar el e-mail y es conducido a una página donde se le pide más información: nombre, dirección, fecha de nacimiento y otros datos demográficos básicos.
Para obtener las credenciales de mayor seguridad, el individuo tiene que dar un número de seguridad social y un número de tarjeta de crédito. Una vez que la información ha sido verificada – siempre y cuando no haya sido marcada – se generan una serie de preguntas basadas en conocimiento considerando los datos del informe de crédito del individuo.
Si las preguntas basadas en conocimiento son respondidas correctamente, el usuario puede entonces configurar la autenticación multifactor, explica Thompson. La persona da un número de teléfono para recibir textos o llamadas con contraseñas de un solo uso para emplearlas en futuras transacciones. Cuando el individuo retorna al sitio que requiere la credencial de alta seguridad recién emitida, ingresa su nombre de usuario y contraseña, y recibe una contraseña de un solo uso para la autenticación multifactor. ID.me procura transparencia cuando los consumidores también emplean la credencial en otros sitios. Cuando una parte confiante solicita el uso de la credencial, aparece una ventana que le informa exactamente al consumidor cuál es la información que se le pide. Incluso ID.me no sabe qué transacciones se hacen con la credencial.
Multi-factor es una necesidad
Hay muchas ventajas en la autenticación por pasos, pero no es perfecta. El proceso es más sencillo que visitar una oficina, mostrar documentación y recibir un token físico, pero no es la experiencia fácil y sin fricción que mucha gente quisiera. “El problema con una credencial fuerte es que requiere más trabajo de los usuarios por adelantado, y ellos no desean eso”, dice Tracy Hulver, estratega principal de identidad en Verizon Enterprise Solutions. “Están los factores rivales que son por un lado la facilidad en el uso y por otro, la autenticación fuerte”. Incluso la autenticación basada en conocimiento, que es un componente clave en muchos procesos de la autenticación por pasos, tiene sus pros y contras. Puede ser precisa y de mucha ayuda en identificar a los consumidores de forma remota, pero también puede ser difícil, consumidora de tiempo y fallar en la identificación de algunas personas. “Si las preguntas que se escogen son muy exigentes, existe la posibilidad de que no se recuerden las respuestas”, apunta Ruddy.
Otra idea es vincular la autenticación por pasos a una identidad asociada con un dispositivo móvil, explica Ruddy. Los consumidores que tienen contratos de teléfono móvil tienen que pasar por un chequeo de crédito, de modo que hay un cierto nivel de seguridad elevada asociada con ese dispositivo. “Se puede vincular una persona a un dispositivo específico, aunque eso no garantiza que el dispositivo esté en manos de la persona correcta, pero es lo más probable”.
Hulver aboga por una autenticación diferente y niveles de seguridad en base al riesgo de la transacción. Revisar el saldo de una cuenta puede ser una transacción de nivel bajo – que incluso no necesariamente requiere una contraseña – pero si un consumidor quiere pagar una factura o transferir dinero, entonces hace falta una autenticación más fuerte. Las tecnologías de autenticación adaptativa pueden habilitar la autenticación por pasos en segundo plano sin que siquiera lo sepa el consumidor.
Chequear una dirección IP, la hora del día en que se realiza la transacción o la ubicación geográfica desde donde se efectúa, todos estos pueden ser factores que contribuyan a niveles más elevados de seguridad respecto a la identidad, dice Hulver. “También puede chequear si su teléfono móvil está dentro de una distancia de tres pies del lugar donde está efectuando la transacción”, señala. “No es tan grande la posibilidad de que alguien tenga el teléfono suyo y conozca su nombre de usuario y contraseña”. Estos son los mismos tipos de tecnologías que utilizan los bancos y las tarjetas de crédito para los alertas de fraude, y todo ello está basado en riesgo.
“El riesgo es clave”, dice Ruddy. “La gente está ajustando sus sistemas de gestión de riesgos, y es mucho lo que se ha hecho para que resulten más eficientes y efectivos”. Estos esquemas de autenticación adaptativa también podrían conducir a niveles incluso más altos de seguridad porque recogen más datos a medida que pasa el tiempo. “Si usted eleva la autenticación para una transacción, esto se guarda y se utiliza con otras partes confiantes”, explica Hulver. “En el transcurso de tres a seis meses un consumidor puede alcanzar niveles más altos ya que el sistema aprende más sobre él. Eventualmente será invisible y en segundo plano”.
Para obtener más detalles, lea este artículo completo en inglés