Thales banner

Soluciones de autenticación de dos factores (2FA)

Resumen

Los métodos de autenticación de dos factores se basan en una variedad de tecnologías. Las más destacadas son las contraseñas de un solo uso (OTP) y la infraestructura de clave pública (PKI). ¿Cuál es la diferencia y cuál debería utilizar para su organización?

Contraseñas de un solo uso

Las contraseñas de un solo uso (OTP) son una forma de autenticación "simétrica", en la que una contraseña de un solo uso se genera simultáneamente en dos lugares: en el servidor de autenticación y en el token de hardware o token de software en posesión del usuario. Si la OTP generada por su token coincide con la OTP generada por el servidor de autenticación, la autenticación es exitosa y se le otorga acceso.

Autenticación de infraestructura de clave pública (PKI)

La autenticación de PKI es una forma de autenticación "asimétrica", ya que se basa en un par de claves de cifrado diferentes, es decir, una clave de cifrado privada y una clave de cifrado pública. Los tokens basados en certificados de PKI de hardware, como las tarjetas inteligentes y los tokens USB, están diseñados para almacenar su clave de cifrado privada secreta de forma segura. Al autenticarse en el servidor de red de su empresa, por ejemplo, el servidor emite un "desafío" numérico. Ese desafío es firmado con su clave de cifrado privada. Si existe una correlación matemática o "coincidencia" entre el desafío firmado y su clave de cifrado pública (conocida por su servidor de red), la autenticación es exitosa y se le otorga acceso a la red. (Esta es una explicación muy simplificada. Para obtener más detalles, vea los videos The Scence of Secrecy de Simon Singh).

Inicio de sesión único

SSO + MFA + administración de acceso

Todo en una plataforma

¿Cuál es el mejor método de autenticación robusta?

Cuando hablamos de autenticación, una misma solución no es buena para todo. A continuación, presentamos diversas consideraciones para tener presente a la hora de elegir el método o métodos más adecuados para su organización:

Nivel adecuado de seguridad

Si bien la autenticación OTP, por ejemplo con aplicaciones OTP, puede brindar protección suficiente para la mayoría de los casos de uso empresarial, las verticales que requieren niveles más altos de seguridad, como el gobierno electrónico y la salud electrónica, pueden estar obligadas a usar la seguridad de PKI por ley.

Estándares y obligaciones del sector

En la autenticación de PKI, se utiliza una clave de cifrado privada, que no es transferible cuando se almacena en un token de hardware. Dada su naturaleza asimétrica, la PKI se utiliza en muchas partes del mundo para casos de uso que requieren mayor seguridad. Sin embargo, la seguridad de OTP también está siendo reconocida cada vez más por muchos sectores, por ejemplo, en la atención médica en los EE. UU., y satisface los requisitos EPCS de la DEA cuando se utiliza una aplicación OTP compatible con FIPS.

En función de los reglamentos relevantes para su sector, el token de hardware o de software que implemente puede necesitar cumplir FIPS 140-2 en Norteamérica o los Common Criteria en otras regiones del mundo.

Acceso físico y lógico

Cuando se requiere una combinación de acceso físico y lógico, se pueden preferir tokens de hardware que admitan el control de acceso físico basado en RFID. Obtenga más información, visite nuestra página de soluciones de control de acceso físico y lógico. 

Autenticación multifactor

Independientemente de la tecnología de autenticación de dos factores que se utilice, la seguridad puede elevarse cuando se evalúan atributos contextuales adicionales en un intento de inicio de sesión, como varias variables basadas en el comportamiento y el dispositivo. Obtenga más información, visite nuestra página de autenticación basada en contexto. 

Mitigación de diversos factores de amenazas

Las diferentes tecnologías de autenticación son efectivas para contrarrestar diferentes amenazas. Para consultar la encuesta sobre los métodos de autenticación y las amenazas que enfrentan, descargue el informe técnico sobre las tecnologías de autenticación.

Costos

Costos de implementación y administración

La autenticación OTP ha sido tradicionalmente más asequible, así como más fácil y rápida de implementar, ya que no requiere configurar una infraestructura de PKI que implique la compra de certificados digitales para la PKI de una autoridad de certificación para cada usuario. A diferencia de la autenticación OTP que utiliza aplicaciones OTP que se pueden instalar en los dispositivos móviles y de escritorio de los usuarios, la autenticación de PKI requiere que se obtenga un token de hardware para que cada usuario mantenga segura su clave de cifrado privada. Por esta razón, la autenticación OTP generalmente implica menores costos de implementación y menos tiempo y esfuerzo por parte del personal de TI.

Cuando se utiliza un token de software, ya sea basado en PKI u OTP, el reemplazo del token se puede realizar de forma inalámbrica, eliminando los costos asociados con el envío por correo de un token de hardware de reemplazo.

Mantenimiento de las inversiones de tokens actuales

Las organizaciones que ya han implementado soluciones de autenticación de dos factores, ya sean basadas en PKI u OTP, pueden buscar formas de conservar su inversión actual.
Cuando los tokens PKI ya están implementados, las organizaciones pueden ampliar o desarrollar sus implementaciones para adaptarse a la movilidad. Con este fin, los avances en la tecnología móvil, como los dispositivos SafeNet IDPrime Virtual y FIDO, pueden permitir que una organización conserve su inversión actual en tokens y aproveche su infraestructura de PKI actual.
Cuando los tokens OTP ya están implementados, las organizaciones pueden conservar su inversión actual buscando soluciones que admitan tokens de terceros y servidores RADIUS de terceros, o buscar soluciones que puedan importar sus tokens basados en estándares actuales a una nueva solución (por ejemplo, tokens basados en OATH).

Facilidad de uso

Las organizaciones que ofrecen una mayor movilidad de la fuerza laboral o extienden la autenticación sólida a socios y consultores pueden buscar métodos de autenticación cada vez más transparentes. Los tokens de software y móviles, así como las soluciones sin token, brindan un proceso de autenticación más conveniente que facilita la implementación de iniciativas de movilidad segura.

SafeNet Trusted Access

SafeNet Trusted Access

Vea lo fácil que es proteger aplicaciones en la nube con SSO

Pase con facilidad de políticas de acceso globales a granulares.

¡Dé el siguiente paso!

Productos de autenticación de dos factores

Autenticadores SafeNet OTP: Thales ofrece la más amplia gama de autenticadores de OTP basados en dispositivos móviles, software y hardware, lo que permite que las organizaciones cumplan con diversos niveles de seguridad al proteger cualquier solución empresarial, ya sea local, basada en la nube, remota o virtual.
Más información

Autenticadores SafeNet OOB de Thales: al ofrecer autenticación fuera de banda a través de notificaciones push, SMS o correo electrónico, los autenticadores fuera de banda de Thales utilizan un canal de comunicación diferente al que se accede para entregar un código de acceso de un solo uso, lo que aumenta tanto la seguridad como la conveniencia del usuario.
Más información

Control de acceso físico y lógico: al combinar los controles de acceso físico con el acceso lógico, las organizaciones pueden asegurar el acceso físico a las oficinas y proteger los sitios industriales y de fabricación, al mismo tiempo que protegen el acceso a redes y aplicaciones sensibles.
Más información

Autenticadores de PKI: el conjunto de tokens de PKI basados en certificados SafeNet de Thales permite el acceso seguro a una amplia gama de recursos, así como a otras aplicaciones de seguridad avanzadas, como firma digital, cifrado de correo electrónico y autenticación de dos factores.
Más información

Preguntas frecuentes sobre la autenticación de dos factores

La autenticación de dos factores (2FA) garantiza que un usuario sea quien dice ser. Cuantos más factores se utilicen para determinar la identidad de una persona, mayor será la confiabilidad de la autenticidad.

¿Para qué se utiliza la autenticación de dos factores?

Así como no le gustaría que su banco permitiera el acceso a su cuenta corriente con una contraseña simple, usted quiere asegurarse de que sus recursos estén protegidos pidiendo a los empleados que proporcionen un factor adicional de autenticación. Esto asegura la identidad de los empleados y protege sus credenciales de inicio de sesión para que no sean pirateadas o robadas fácilmente. Usted no quiere permitir el acceso a sus activos valiosos (ya sean de VPN, Citrix, Outlook Web Access o aplicaciones en la nube) con un solo factor, que suele ser una contraseña débil.

La autenticación de dos factores permite reforzar la protección de los recursos esenciales reduciendo drásticamente las opciones de diversos ataques a la seguridad, como el robo de identidad, ataques de captación ilegítima de datos confidenciales o phishing y fraude en línea, entre otros.

¿Cómo funciona?

Hay múltiples métodos de autenticación que pueden utilizarse para validar la identidad de una persona. SafeNet ofrece la gama más amplia de métodos de autenticación y factores de forma, lo que permite a los clientes abordar numerosos casos de uso, niveles de seguridad y vectores de amenazas.

  • Autenticación basada en hardware: un hardware adicional que el usuario tiene físicamente y que, sin el cual, la autenticación no es posible.
  • Autenticación fuera de banda: un hardware que ya tiene el usuario y que puede utilizarse para recibir información de forma segura a través de SMS o correo electrónico.
  • Autenticación basada en software: métodos de autenticación de este tipo implementan una aplicación de software en la computadora, teléfono inteligente o dispositivo móvil del usuario.
  • Contraseña de un solo uso (OTP): genere contraseñas de un solo uso (OTP) dinámicas para autenticar correctamente a usuarios en aplicaciones y datos importantes, ya sea en un token, dispositivo móvil o autenticación basada en cuadrícula.
  • Autenticadores basados en certificado (CBA) con tokens de USB: permiten el acceso remoto seguro, así como otras aplicaciones avanzadas, como firma digital, administración de contraseñas, ingreso a la red y el acceso físico y lógico combinado.
  • Autenticadores basados en certificado (CBA) con tokens de tarjeta inteligente: factores de forma tradicional de tarjeta de crédito que permite que las organizaciones puedan responder a sus necesidades de control de acceso y de seguridad de PKI.
  • Autenticadores híbridos: autenticadores que combinan la contraseña de un solo uso, memoria flash cifrada o tecnología basada en certificado en el mismo dispositivo de autenticación robusta.

¿Qué es la autenticación basada en contexto?

La autenticación basada en contexto utiliza información contextual para asegurar si la identidad de un usuario es auténtica o no. Se recomienda como complemento de otras tecnologías de autenticación robustas.

Las soluciones de autenticación de próxima generación de SafeNet ofrecen a los administradores de TI un enfoque multicapa para el control de acceso. Los empleados pueden acceder de forma fácil y segura a las aplicaciones empresariales y SaaS, siempre que cumplan con las reglas de política predefinidas establecidas previamente por el administrador. Si un usuario no cumple con las reglas de acceso vigentes, se le puede solicitar que proporcione un factor de autenticación adicional antes de que se le conceda el acceso. Esto podría ser un SMS o un código de acceso de un solo uso generado por un token de teléfono o un token de hardware, según las políticas de la organización. Haga clic aquí para ver nuestra infografía de autenticación basada en contexto.

¿Protege el acceso a las aplicaciones en la nube?

Dado que la transición a la nube desdibuja los límites del perímetro tradicional de seguridad de las redes, las organizaciones tienen dificultades para costear, implementar y administrar políticas de acceso unificadas y coherentes para los recursos corporativos distribuidos. Con la creciente adopción de SaaS, ya no hay ningún único de punto de entrada a las aplicaciones corporativas.

Las soluciones de autenticación SafeNet superan estos desafíos al permitir que las organizaciones amplíen sin problemas el acceso seguro a la nube a través de la federación de identidades.  Las plataformas de autenticación SafeNet aprovechan las infraestructuras de autenticación existentes de las organizaciones, permitiéndoles extender las identidades locales de los usuarios a la nube e implementar políticas de control de acceso uniformes para aplicaciones de red y de nube. Obtenga más información sobre la autenticación sólida para aplicaciones y servicios SaaS basados en la nube

¿La 2FA protege a los empleados móviles y a los empleados con diferentes niveles de riesgo?

SafeNet proporciona un único punto de administración para definir y aplicar controles de acceso a todos los recursos virtuales, en la nube y locales y permite extender la autenticación de dos factores a todos los usuarios y en todos los niveles de riesgo, incluidos los empleados móviles.

Los diferentes métodos de autenticación y factores de forma abordan los diferentes niveles de riesgo de los usuarios. Como tal, un empleado que solo tiene acceso al portal de la empresa tendrá un método de autenticación/factor de forma diferente que el del administrador de TI de la empresa.

¿Cómo funciona la autenticación de dos factores (2FA) con la adopción de dispositivos propios de los empleados (BYOD)?

SafeNet ofrece diversos métodos para garantizar el acceso seguro desde dispositivos móviles a recursos de red, correos electrónicos y VDI, entre otros:

  • Autenticación de usuarios: identifica de forma positiva a los usuarios que acceden a los recursos corporativos a través de VPN, conexión inalámbrica, puntos de acceso y VDI.
  • Provisión de credenciales de certificados para dispositivos iOS: solo los usuarios cuyos dispositivos dispongan de certificados pueden acceder a los recursos corporativos.
  • Reconocimiento de dispositivo con autenticación basada en contexto: reconoce a los usuarios registrados que inician sesión en aplicaciones basadas en la web desde un navegador móvil.

Las soluciones de autenticación SafeNet ayudan a asegurar el acceso en situaciones de dispositivos propios de los empleados (BYOD) al solicitar a los usuarios que registren sus dispositivos. De este modo, las organizaciones pueden decidir que solo los dispositivos registrados previamente puedan acceder a la red o que los dispositivos no registrados requieran que el usuario facilite un método adicional de autenticación como un código de acceso de un solo uso.

¿Cómo gestionamos todas estas diferentes necesidades y soluciones?

La necesidad de implementar políticas de acceso unificadas para las aplicaciones SaaS, soluciones basadas en la nube y entornos locales es esencial para establecer y mantener el acceso seguro en los entornos de personal actuales, muy influidos por la movilidad.

Con la presión de reducir costos y acreditar el valor, el personal de administración de TI está buscando continuamente reducir su TCO. La administración optimizada incluye la administración de usuarios, provisión, inicio de sesión único, autenticación robusta, autorización, elaboración de informes, auditorías y alertas de políticas integradas con LDAP/Active Directory.

Las soluciones de autenticación administradas de forma centralizada de SafeNet se basan en una única plataforma de administración que admite:

  • Movilidad segura para empleados desde dispositivos móviles suministrados por la empresa y personales.
  • Acceso (VPN) remoto seguro a las redes de la empresa.
  • Acceso seguro a las aplicaciones en la nube.
  • Acceso seguro a infraestructuras de escritorio virtual (VDI).
  • Ingreso seguro a la red.
  • Acceso seguro a portales web.
  • Aplicaciones de seguridad avanzada, como la autenticación previa al inicio y firma digital.

¿Cómo se adapta la 2FA al actual ecosistema de TI fragmentado de las empresas?

Un ecosistema de TI fragmentado obstaculiza la seguridad y el cumplimiento. Asegurar el acceso de los empleados a los recursos de la empresa en un entorno tan fragmentado es realmente un desafío. Las soluciones de autenticación de SafeNet brindan un único punto de administración que aplica controles de acceso uniformes en todo el ecosistema de TI. Con una cobertura completa de casos de uso, nuestras soluciones brindan más de cien integraciones perfectas y listas para usar para la nube, VPN, VDI, portales web y LAN.

SafeNet asegura una administración sin problemas para los administradores de TI al ofrecer:

  • Flujos de trabajo totalmente automatizados.
  • Administración de soluciones por excepción.
  • Única pista de auditoría de todos los eventos de acceso.
  • Uso de portal de autoservicio.
  • Acceso seguro desde cualquier dispositivo.
  • Expedición inalámbrica de tokens de software.

El deseo de mantener niveles aceptables de seguridad de acceso sin sobrecargar a los usuarios finales, combinado con la necesidad de admitir múltiples dispositivos, está llevando a las organizaciones a adoptar soluciones que tengan un impacto mínimo en la experiencia de los usuarios. SafeNet ofrece autenticación sin problemas para los usuarios con una amplia gama métodos de autenticación de tokens 2FA y sin token, así como SSO en la nube.

SafeNet MobilePASS+ Mobile Authenticator App - Push and OTP

SafeNet MobilePASS+ Mobile Authenticator App - Push and OTP - Product Brief

End users and IT teams are experiencing waves of high stress due to the pandemic and escalating cyberattacks. Thales offers a simple and highly secure authenticator app that makes login fast and secure throughout each login session, lowering risk and ensuring secure remote...

Autenticación push desde su móvil con MobilePASS+