Inicio / Protege tu empresa / Blog / Algo que sabes, algo que tienes y algo que eres. ¿Sabes de qué estamos hablando?

Algo que sabes, algo que tienes y algo que eres. ¿Sabes de qué estamos hablando?

Publicado el 15/12/2014, por INCIBE
Algo que sabes, algo que tienes y algo que eres. ¿Sabes de qué estamos hablando?

En la actualidad la utilización de contraseñas es un elemento básico y casi podríamos decir que cotidiano. Sin embargo, sigue presentando debilidades, relacionadas con la limitada capacidad humana para retener largas cadenas de caracteres. Eso ha hecho que poco a poco vayan surgiendo herramientas y esquemas complementarios al uso exclusivo de contraseñas.

Sabemos que la manera de autenticarnos en cualquier servicio o sistema mediante un identificador de usuario y una clave de acceso es muy cómoda y el estándar de facto en la actualidad, ya que únicamente necesitamos conocer ambos elementos para obtener acceso al recurso que deseamos acceder, ya sea el correo electrónico o un sistema crítico corporativo. Sin embargo, en esta sencillez radica el problema: igual que es fácil para nosotros también lo facilita para cualquiera que conozca dicha contraseña. Basta con que la contraseña del usuario o del servicio al que accedemos (recordemos, las dos partes implicadas en la autenticación) deje de ser secreta, para que su seguridad se venga abajo.

Por un lado, a un usuario legítimo, un tercero malintencionado puede robarle o adivinar la clave de acceso, o sencillamente ese usuario puede compartirla con otras personas. En el otro extremo, el sistema al que nos autenticamos puede ser atacado y las claves de sus usuarios comprometidas, en este caso, el sistema atacado debería, de forma inmediata, ejecutar procedimientos de gestión de incidentes que incluyan notificaciones y cambios de contraseñas.

¿Qué medidas es posible adoptar para incrementar el nivel de seguridad y reducir el riesgo? Utilizar un segundo o triple factor de autenticación, término que hace referencia a la capacidad de un entorno de verificar que un usuario es quien dice ser realmente: nosotros indicamos quiénes somos (por ejemplo, utilizando nuestra dirección de correo electrónico, un nombre de usuario, un código…) y el sistema verifica nuestra identidad.

¿Cómo? Habitualmente distinguimos tres grandes familias de esquemas de autenticación:

  • Algo que sabemos, por ejemplo una contraseña o un código PIN.
  • Algo que poseemos, por ejemplo una tarjeta de crédito o un token RSA.
  • Algo que somos (autenticación biométrica), como la forma de la mano o la huella dactilar.

Aunque las dos últimas familias, en especial la segunda, la autenticación por algo poseído, cada día están más presentes en todos los servicios a los que accedemos, sin duda los esquemas de autenticación habituales se basan en algo que sabemos: una clave, contraseña o, directamente en inglés, password. No tenemos más que pensar cómo accedemos habitualmente a la mayor parte de los servicios, ya sean corporativos o personales: mediante nuestra clave secreta, que sólo nosotros debemos conocer.

Sin embargo, en algunos entornos, que requieren de mayor protección, una contraseña de acceso no es suficiente para garantizar la seguridad de nuestra información; por este motivo, en dichos entornos suelen aplicarse mecanismos que se basan la combinación de dos factores de autenticación (o incluso tres): algo poseído y algo conocido, algo que somos y algo que tenemos, etc. A estos mecanismos, que combinan dos o más factores de autenticación, se les denomina de autenticación fuerte o robusta; el ejemplo más habitual es el uso personal de tarjetas en medios de pago: al sacar dinero de un cajero o al realizar una compra, combinamos algo que conocemos (el PIN) con algo que poseemos (la propia tarjeta). En entornos corporativos, cada vez es más frecuente la utilización de tokens (ya sean físicos o lógicos) con códigos aleatorios que caducan tras un breve periodo de tiempo, y muchos dispositivos comienzan a incorporar dispositivos biométricos que nos permiten complementar la seguridad de la contraseña.

A pesar de ello, incluso haciendo uso de más de un factor de autenticación, la utilización del par usuario-clave como parte del proceso de autenticación seguirá siendo habitual durante mucho tiempo, lo que nos enfrenta al reto de gestionar cada vez un mayor número de claves, que, recordemos, deben ser diferentes y robustas. Para facilitar su gestión y evitar registrar “en claro” las contraseñas, es muy recomendable la utilización de gestores de contraseñas. Almacenar las contraseñas en una hoja de cálculo o en un fichero de texto no es lo más adecuado.

Estos son programas en los que podemos almacenar las claves de forma segura, accediendo a ellas mediante una contraseña maestra única que nos permitirá visionar todas las claves, o parte de ellas; el almacenamiento se realiza de forma cifrada, lo que implica que si un tercero accede al programa y desconoce esa clave maestra, pueda acceder a las contraseñas almacenadas.

Programas gestores de contraseñas hay muchos y para todas las plataformas –incluidas las móviles, lo que nos facilita el acceso a las claves en cualquier lugar–: Keepass Password Safe, Gorilla Password, KeePassDroid, MiniKeePass, y otras muchas más. Sea cual sea el que utilicemos, es imprescindible que tomemos una serie de precauciones básicas:

  • Antes de comenzar a utilizar una de estas aplicaciones, hemos de investigar sobre la reputación de la aplicación y garantizar que es conocida, segura y tiene buenas referencias.
  • La utilización de cifrado y una clave maestra tiene un inconveniente principal: si la olvidamos, será imposible acceder a las claves almacenadas. Por tanto es vital que memoricemos la contraseña utilizada y que no la escribamos o la compartamos con nadie.
  • Debemos realizar copias de seguridad del fichero de claves, dado que en caso de pérdida del fichero, perderíamos también las claves.

Con estas precauciones, estamos listos para poder gestionar de manera segura decenas o incluso cientos de claves sin necesidad de reutilizarlas o limitar su complejidad.

En definitiva, tanto el uso de gestores de contraseñas como la incorporación de modelos de autenticación de doble o triple factor son mejoras que, sin necesidad de llevar a cabo una inversión desproporcionada, nos permitirán mejorar el nivel de seguridad de nuestra organización de una manera muy significativa.