Hoy en día, la mayoría de las redes empresariales solo requieren un nombre de usuario y una contraseña estática para acceder a datos personales y confidenciales. Este tipo de autenticación de factor único es muy conveniente, sin embargo, no es muy seguro en nuestro mundo moderno. La mayoría de las personas comprenden que deben usar contraseñas únicas para cada cuenta en línea. Sin embargo, el 69% de nosotros usamos la misma contraseña de todos modos.
Además, el 47% de las personas usa una contraseña que tiene más de 5 años y la contraseña más utilizada es ‘123456’, utilizada por un asombroso 17% de las personas. Lo que es aún peor, el 95% de las personas comparten hasta 6 contraseñas con sus amigos.
Entonces, ¿cómo te proteges a ti mismo y a los activos más valiosos de tu empresa de la mala higiene de las contraseñas o las escuchas electrónicas ? Una forma es utilizar ‘contraseñas de un solo uso‘, contraseñas desechables que solo son válidas una vez.
Este artículo explicará los conceptos básicos de las contraseñas de un solo uso y cómo se pueden implementar.
Indice
¿Qué son las contraseñas de un solo uso?
Las contraseñas de un solo uso son contraseñas que solo son válidas para una sesión o transacción de inicio de sesión, por lo que brindan protección contra varios ataques basados en contraseñas, específicamente ataques de rastreo y reproducción de contraseñas. Normalmente, una contraseña de un solo uso es una serie de números o caracteres que se generan automáticamente.
Para que este sistema funcione, la contraseña debe cambiar cada vez que se usa, pero también debe haber algún tipo de sincronización entre la contraseña en constante cambio, el sistema informático o la aplicación que se utiliza y el usuario final. Esta sincronización también debe tener lugar sin transmitir ningún dato a través de métodos inseguros como el correo electrónico.
¿Cómo se sincronizan las contraseñas de un solo uso?
Las contraseñas de un solo uso se pueden generar de varias maneras y cada una tiene compensaciones en términos de seguridad, conveniencia y coste.
Sincronización horaria
Un enfoque para generar contraseñas de un solo uso es utilizar la sincronización de tiempo. Cada usuario tiene una ficha personal (que puede parecer una pequeña calculadora o un llavero) con una pantalla que muestra un número que cambia ocasionalmente. Dentro del token personal hay un reloj que se ha sincronizado con el reloj del servidor de autenticación propietario. El dispositivo y el servidor de aplicaciones generan nuevas contraseñas de un solo uso basadas en una versión numérica de la hora actual.
Las contraseñas sincronizadas en el tiempo no siempre tienen que coincidir perfectamente y, por lo general, hay una ventana en la que se aceptarán contraseñas más antiguas o más nuevas. Esto se hace simplemente porque a los humanos les lleva un poco de tiempo leer e ingresar la OTP, por lo que, por ejemplo, sería inusual que una contraseña cambiara cada segundo, ya que el usuario final no tendría tiempo suficiente para ingresar la contraseña antes.
La contraseña en sí suele ser un hash de la hora actual, por ejemplo, 16.43 se convierte en 1643, que luego se ejecuta a través de un generador de código y un proceso matemático llamado función hash (o código hash) para generar un código único de 10 dígitos, que es el contraseña de un solo uso.
El tiempo es, por lo tanto, una parte importante del algoritmo de contraseña, ya que la generación de nuevas contraseñas se basa en la ‘hora actual’. Si los relojes se desvían demasiado, el token no generará las contraseñas correctas y será necesario restablecerlo. Para evitar el problema de las diferentes zonas horarias, se puede utilizar una marca de tiempo Unix, que es una hora universal coordinada.
Paso de bloqueo
El segundo método involucra el sistema informático y el token comenzando con el mismo número compartido (llamado semilla). Cada vez que se genera una nueva contraseña, el dispositivo token incrementa su propio contador interno, y cada vez que inicia sesión, el servidor también incrementa su contador.
Es posible salirse del paso generando contraseñas que no se utilizan, lo que hace que el contador del token avance más que el contador en el servidor de aplicaciones. Sin embargo, la tolerancia generalmente se crea para que las cosas puedan estar un poco desincronizadas, y el servidor se volverá a sincronizar automáticamente en caso de que pierda el paso.
Esta técnica de OTP se llama sincronización de bloqueo o de contador, y aunque todavía se requiere hardware propietario, no adolece de la desventaja de tener que mantener los relojes a tiempo.
OTP basada en transmisión
El tercer enfoque es completamente diferente. En lugar de que dos dispositivos sean responsables de forma independiente de sus propias contraseñas, el servidor de autenticación genera las contraseñas de forma aleatoria. Como esta contraseña es completamente aleatoria, no es posible que un dispositivo token permanezca automáticamente en el paso, por lo tanto, la contraseña de un solo uso debe comunicarse activamente al usuario final.
Este tipo de contraseñas desechables a menudo se denominan «SMS -OTP», ya que se envían más comúnmente por mensaje de texto, pero también pueden ser generadas por una aplicación o dispositivo electrónico de mano (llamado token de seguridad) o, en algunos casos, pueden incluso puede imprimirse y enviarse por correo.
Cuando deseas autenticarte, el sistema te envía tu contraseña y tu usas la contraseña para iniciar sesión. Una de las grandes ventajas de este método es que elimina la necesidad de proporcionar y mantener hardware propietario.
¿Cómo se transmiten las contraseñas de un solo uso?
Las contraseñas de un solo uso se pueden comunicar a los usuarios finales de varias formas y cada una tiene compensaciones en términos de seguridad, conveniencia y coste.
Contraseña de un solo uso mediante mensaje SMS
Este método requiere un servicio SMS confiable y de alta calidad. Una vez que el usuario completa el nombre de usuario y la contraseña correctos durante el inicio de sesión, se activa un mensaje de texto con una OTP, que se envía al número de teléfono móvil registrado en la cuenta del usuario.
Luego, el usuario completa el proceso de autenticación ingresando el código que se muestra en el mensaje SMS en la pantalla de inicio de sesión de la aplicación. Por lo general, a los usuarios finales se les permite un cierto período de tiempo antes de que expire la contraseña.
Contraseña de un solo uso a través de Voice
Una alternativa a los SMS es Voice, que utiliza un teléfono fijo o móvil existente para recibir una contraseña hablada como una llamada telefónica en el teléfono fijo o móvil del usuario. Las ventajas de este método son que las contraseñas no se almacenan en el teléfono del usuario y, además, le permite llegar a usuarios con visión limitada. Sin embargo, hay un coste por uso asociado con esta solución y requiere un número de teléfono fijo o móvil ya establecido para funcionar.
Las contraseñas también se limitan a cadenas de caracteres cortas. De lo contrario, transferir la contraseña de la llamada a la pantalla de inicio de sesión se vuelve difícil para el usuario o requiere varios intentos para obtener una coincidencia.
Contraseña de un solo uso por correo electrónico
Si se registra una cuenta de correo electrónico junto con una cuenta de usuario, se pueden enviar contraseñas de un solo uso a una dirección de correo electrónico para la autenticación durante el inicio de sesión.
La entrega de correo electrónico para contraseñas de un solo uso es una opción rentable, sin embargo, se puede sacrificar la seguridad y la facilidad de uso. El correo electrónico no tenía la intención de ser el centro de nuestras vidas digitales de la forma en que lo es ahora, por lo que no se diseñó teniendo en cuenta la seguridad o la privacidad.
El 91% de todos los ataques cibernéticos comienzan con el correo electrónico y es el método menos seguro para la autenticación de dos factores. También depende de que los usuarios tengan acceso constante a una cuenta de correo electrónico. Los usuarios también pueden incurrir en solicitudes de restablecimiento de contraseña y tiempos de espera cuando intentan acceder a su cuenta de correo electrónico para obtener acceso a la OTP.
Contraseña de un solo uso por correo postal
Un sistema basado en correo funciona esencialmente de la misma manera que otros sistemas de mensajería, pero la contraseña tarda más en comunicarse al usuario final. Por lo tanto, la validez de la contraseña se amplía para permitir retrasos en el tránsito.
Algunos bancos enviarán largas listas impresas de contraseñas de un solo uso (llamadas números de autenticación de transacciones o TAN) a organizaciones para que las utilicen en la banca comercial. El banco tiene una lista coincidente de contraseñas almacenadas en su sistema informático y las contraseñas deben usarse en secuencia para asegurar una coincidencia.
Las listas y cuadrículas numéricas ofrecen soluciones rentables para contraseñas de un solo uso, pero son lentas y no muy fáciles de usar. El usuario debe mantener una lista de contraseñas que a menudo debe usarse en secuencia, además, si su lista de contraseñas se copia o cae en las manos equivocadas, alguien tiene todas sus contraseñas.
Contraseña de un solo uso mediante notificación push
Las contraseñas de un solo uso a través de Push son similares a las contraseñas de un solo uso basadas en SMS, sin embargo, esta vez la contraseña generada automáticamente se envía como una notificación de inserción a una aplicación en el dispositivo del usuario. Una vez que se ha enviado la notificación automática a la aplicación, el usuario copia el código en la pantalla de inicio de sesión para verificar su identidad.
La notificación push es la solución más rentable, ya que utiliza un dispositivo existente (por ejemplo, el dispositivo móvil de los usuarios) y no incurre en los costes de la mensajería SMS.
También es una de las soluciones más seguras, además de fácil de usar. Con los teléfonos móviles modernos, incluso puede incluir un tercer factor de autenticación, como un escaneo biométrico (por ejemplo, un escaneo de huellas dactilares) para garantizar una seguridad realmente estricta. Las desventajas también son bastante mínimas: las notificaciones push requieren una aplicación dedicada y el acceso a la aplicación está sujeto a la pérdida del teléfono móvil.
Contraseña híbrida de un solo uso (lo mejor de ambos mundos)
Puedes combinar los puntos fuertes de los SMS y la mensajería push y utilizar un sistema híbrido. La contraseña se envía inicialmente mediante una notificación automática que es rápida y rentable, pero si su usuario no tiene su aplicación instalada o está fuera de línea, la contraseña se puede enviar por SMS. También puedes agregar una tercera opción alternativa para que la contraseña se entregue por voz si push y SMS han fallado por alguna razón.
El método de entrega de contraseña predeterminado puede ser el más efectivo para mantener bajos tus costes, pero al usar una solución híbrida, te aseguras de que los usuarios siempre puedan obtener acceso a tu aplicación, lo que a su vez promueve una mejor participación en la aplicación.
Beneficios de las contraseñas de un solo uso
Los beneficios de las OTP son claros, por eso tantas aplicaciones y servicios los han implementado.
- Reducen el comportamiento inadecuado de la seguridad. Como ya hemos comentado, es frustrante que tanto los usuarios finales como los usuarios empresariales reutilicen contraseñas, utilicen contraseñas débiles y compartan credenciales. Con las OTP, puedes eliminar este comportamiento o complementarlo con una contraseña temporal más segura.
- Evitan los ataques de repetición. Los ataques de repetición son un tipo de ataque de red, en el que un pirata informático secuestra la transmisión de datos válidos y la repite o retrasa. Durante un ataque de repetición exitoso, un pirata informático podría interceptar y luego usar la contraseña de un usuario final. Sin embargo, con las OTP, no importa si son robadas. Son válidos solo temporalmente, lo que significa que incluso si un pirata informático los roba, no podrán usar la OTP más allá del punto de vencimiento.
- Liberan a los administradores de TI. Los administradores de TI, o los desarrolladores a cargo de la administración, dedican mucho tiempo a la gestión de contraseñas. Tendrán que diseñar reglas de descomposición, reforzar las mejores prácticas de seguridad de contraseñas y elaborar políticas y plazos para desaprobar las contraseñas. Puede resultar engorroso. Con las OTP, todo ese dolor de cabeza se elimina y se automatiza de manera efectiva.
Desventajas de las OTP
Las OTP no están exentas de debilidades y, irónicamente, la seguridad es una de ellas.
Inseguridades persistentes
Los piratas informáticos expertos pueden interceptar o desviar las OTP. Si un usuario final aún no ha usado la OTP, eso puede dejarlo vulnerable.
Las OTP de SMS en particular han sido objeto de críticas. Estas OTP basadas en SMS se introdujeron originalmente para proteger contra ataques de phishing, pero hoy en día, la arquitectura de las redes móviles modernas y los teléfonos móviles significa que los sistemas OTP de SMS «ya no pueden considerarse seguros».
Algunas OTP utilizan cifrado, a menudo a través de un estándar A5 / x, pero algunos grupos de piratas informáticos han descubierto que este estándar se puede descifrar con bastante facilidad.. Eso significa que los piratas informáticos podrían interceptar una OTP cifrada, descifrarla y acceder a las cuentas de un usuario final.
Algunos desarrolladores también han encontrado fallas en el protocolo de enrutamiento SS7, lo que significa que los piratas informáticos pueden redirigir los mensajes de texto OTP. En 2017, por ejemplo, la empresa alemana O2 informó que los piratas informáticos utilizaron su sistema de verificación de dos factores para desviar las OTP . En este caso, el protocolo que conectaba a los bancos alemanes con el backend de ciertas redes de telecomunicaciones era explotable.
Fallas de seguridad como estas, especialmente las que involucran SMS, han llevado al NIST (el Instituto Nacional de Estándares y Tecnología) a desaprobar la sugerencia de usar OTP basadas en SMS.
Experiencia de usuario molesta
Muchos usuarios finales consideran que las OTP son una experiencia molesta. Los usuarios que usan administradores de contraseñas, en particular, pueden sentirse frustrados porque, aunque ya usan contraseñas seguras, también se ven obligados a usar OTP.
La fricción de OTP puede verse agravada por implementaciones deficientes de OTP que hacen que la entrega de OTP tarde mucho tiempo. No deseas que tus usuarios presionen repetidamente el botón de actualización en sus bandejas de entrada de correo electrónico, esperando que llegue un correo electrónico de OTP antes de poder iniciar sesión. Una forma de reducir la fricción mientras te beneficias de la seguridad de OTP es usar una clave de seguridad moderna y dedicada.
Ejemplos
Los tokens de seguridad OTP son tarjetas inteligentes basadas en microprocesadores o llaveros de bolsillo que producen un código numérico o alfanumérico para autenticar el acceso al sistema o transacción. Este código secreto cambia cada 30 o 60 segundos, dependiendo de cómo esté configurado el token.
Las aplicaciones de dispositivos móviles, como Google Authenticator, se basan en el dispositivo token y el PIN para generar la contraseña de un solo uso para la verificación en dos pasos.
Los tokens de seguridad OTP se pueden implementar mediante hardware, software o bajo demanda. A diferencia de las contraseñas tradicionales que permanecen estáticas o caducan cada 30 a 60 días, la contraseña de un solo uso se usa para una transacción o sesión de inicio de sesión.
Conclusión
El usuario empresarial medio tiene 191 contraseñas y escribe un promedio de 8 contraseñas diferentes por día. La mayoría de las veces, esto da como resultado que los usuarios finales usen las mismas contraseñas para varias cuentas, escriban sus contraseñas en notas adhesivas o bombardeen tu servicio de asistencia de TI con solicitudes de restablecimiento de contraseña.
La autenticación de dos factores es especialmente importante cuando se trata de proteger los datos empresariales del ciberdelito y el fraude. La ventaja más importante de las contraseñas de un solo uso es que, a diferencia de las contraseñas estáticas, no son vulnerables a los ataques de repetición.
La autenticación de dos factores (en forma de contraseñas de un solo uso) fortalece un sistema tradicional de identificación de usuario y contraseña estática al agregar otra credencial dinámica. Incluso si los usuarios están usando la misma (o similar) contraseña para cada sistema, tu sistema se vuelve menos vulnerable ya que es poco probable que ambas capas de seguridad se vean comprometidas por un pirata informático.
También hay un tercer factor disponible, por ejemplo, huellas dactilares, escaneo de retina, huella de voz, reconocimiento facial, etc., que se puede usar para agregar otra capa de seguridad. Es lógico pensar que cuantos más factores se requieran para autenticarse, más seguros serán sus sistemas.
En el lado negativo, las contraseñas sólidas de un solo uso son difíciles de memorizar para los seres humanos, por lo tanto, requieren tecnología adicional para funcionar. Para los sistemas OTP que se basan en la sincronización del contador o de los pasos de bloqueo, los generadores de contraseñas deben hacer frente a la situación en la que un token electrónico se desincroniza con su servidor, lo que genera un coste de desarrollo adicional.
Los sistemas sincronizados en el tiempo, por otro lado, evitan esto a expensas de tener que mantener un reloj en los tokens electrónicos (y un valor de compensación para tener en cuenta la desviación del reloj ).
Las soluciones más baratas (y mejores) son aquellas que ofrecen contraseñas de un solo uso sin los costes asociados con el hardware propietario. Los métodos simples, como las listas generadas manualmente o las cuadrículas numéricas, ofrecen soluciones de bajo coste, pero son lentos y difíciles de mantener. Los usuarios deben llevar consigo una lista de contraseñas y realizar un seguimiento de dónde se encuentran en la lista.
Además, si la lista cae en las manos equivocadas, alguien tiene todas tus contraseñas. Por lo tanto, las mejores soluciones utilizan un dispositivo existente (por ejemplo, un teléfono móvil) y ofrecen contraseñas de un solo uso sin los costes asociados con la mensajería SMS (es decir, notificaciones automáticas).