El múltiple factor de autenticación (MFA) se ha convertido en uno de los elementos clave a tener en cuenta para garantizar la seguridad en los accesos. Sin embargo, es importante saber elegir la solución MFA adecuada que cubra todas las necesidades de autenticación.
Las amenazas de seguridad a las que tenemos que hacer frente hoy en día ponen en evidencia que el uso únicamente de contraseñas no es suficiente para protegernos de accesos no deseados. Cada vez son más los expertos que apuntan hacia la importancia de adoptar un múltiple factor de autenticación en el que se combine el uso de una contraseña con otro u otros métodos que verifiquen la identidad del usuario.
Pero, ¿qué tipo de MFA elegir? La elección de tokens y herramientas multifactoriales depende de cada usuario y empresa, de sus necesidades y la probabilidad de ser objetivo de ataques. Anticiparse a posibles amenazas con soluciones como el múltiple factor de autenticación contribuirá a evitar que muchas consigan su objetivo y otras, al menos minimizar su impacto.
Por eso es importante tener en cuenta una serie de consideraciones a la hora de elegir una solución MFA. Estas son algunas de las más destacables.
Conocer hasta dónde llega la protección del MFA
Una de las primeras cuestiones a tener en cuenta es revisar cómo la herramienta de MFA protege la red, los sistemas y aplicaciones. A menudo, al añadir una solución de este tipo a las aplicaciones locales existentes es posible que no proteja completamente a la organización de algunos ataques.
Un claro ejemplo es el reciente ataque de día cero de Exchange Server en el que contar con el MFA no protegió a los servidores. Lo que se sabe hasta el momento es que al menos una víctima usó Exchange Server local con una aplicación MFA de terceros. De esta forma, si bien protegió partes del proceso de autenticación, no protegió el acceso a Outlook vía web, Outlook Web Access (OWA), que usa autenticación básica.
El uso del MFA no protegió esa parte, por lo que los atacantes pudieron eludir esta autenticación y atacar los servidores. Esto pone de relevancia la importancia de examinar qué solución es la más adecuada y revisar qué procesos de autenticación pueden quedar expuestos.
Implementación, migración y actualización
El despliegue, la migración y la capacidad de actualización de los tokens de múltiples factores son otro punto a considerar. Según el tamaño de cada organización se pueden implementar tokens multifactor, u optar por habilitar aplicaciones de autenticación en los smartphones.
Algunas políticas de empresa permiten implementar aplicaciones de autenticación en dispositivos proporcionados por la empresa, o proporcionar información de implementación a los empleados que utilizan dispositivos personales.
También existen aplicaciones de autenticación que facilitan la exportación e importación a los smartphones. Es importante asegurarse de que todos los smartphones, personales y corporativos, cuentan con esta autenticación y, cuando salen nuevos modelos de teléfonos, conocer su compatibilidad.
Uso de tokens de hardware para la autenticación
Se trata de soluciones menos económicas, pero que no tienen tanta necesidad de migrar. Los tokens vienen con una sobrecarga adicional, ya que no siempre estarán con el usuario, mientras que con los smartphones sucede lo contrario.
Requisitos de autenticación en la nube
A menudo, no se puede estandarizar en una sola aplicación la autenticación para los servicios en la nube. Estos pueden alinearse con una aplicación de autenticación, pero, por lo general, se necesita una variedad de herramientas MFA que incluyen aplicaciones de autenticación (Microsoft, Authy, Google Authenticator), así como aplicaciones como Duo.com y tokens de hardware.
Ante la gran apuesta que están haciendo las organizaciones por la nube es fundamental que tengan una planificación para asegurarse de que el método de autenticación cumple con sus requisitos y especificaciones reglamentarios, como NIST.
Contar con el múltiple factor de autenticación debe ser un imperativo para toda organización de hoy en día, pero la forma en que se implementa y mantiene puede ayudar o suponer una nueva carga. Tenerlo planificado con anticipación para elegir la opción que sea más fácil de gestionar, que no cause más problemas al actualizar y que satisfaga las necesidades de la organización, será clave.
