Autenticación de inicio de sesión de la cuenta
Page Article
Two-Factor (2FA) and Multi-factor authentication (MFA) add additional levels of protection to an account log-in. When you have to enter only your username and one password, that's considered a single-factor authentication. Two-factor requires the user to have two out of three types of credentials before being able to access an account. Multi-factor requires the user to have all three types of credentials before being able to access an account.
You should protect any online accounts where your payment information, reward points, personally identifiable information, money, investments, cryptocurrency, credentials, medical records, and payment card, need to be best protected. These online accounts can include your: Banking, Finance, Investment, Utility, Subscription, Government, Health, Retail Shopping, Social Media, and Technology Accounts.
Tres tipos de credenciales de usuario:
- Algo que conoces - Contraseña, PIN o patrón.
- Algo que usted tiene - Smartphone, tarjeta de cajero automático, tarjeta de identificación, aplicación, token de seguridad FOB, etc.
- Something you are - Fingerprint, Facial Recognition, Voice, Behavior, Location, etc.
¿Por qué es tan eficaz el multifactor? Es bastante fácil para los malos adivinar las contraseñas débiles, especialmente con toda la información personal disponible hoy en día a través de las redes sociales. Pero a los hackers les costará mucho obtener ese algo que tienes, como el token de seguridad de hardware o software o el teléfono móvil que has autorizado para los textos de verificación. Necesitas tener ese teléfono móvil o token en la mano para obtener la información que necesitas para acceder a tu cuenta.
CONSEJO DE EXPERTOS - Utilice una forma de autenticación de inicio de sesión de la cuenta para iniciar la sesión, y una segunda autenticación de inicio de sesión de la cuenta diferente para la recuperación.
Tipos de métodos de autenticación de inicio de sesión de la cuenta
Textos SMS - Este es el método en el que se le pide que introduzca su contraseña y luego un código de una sola vez que se envía por mensaje de texto a su número de teléfono.
Pros:
- No necesitas un smartphone caro para recibir mensajes de texto.
- In some cases, the code can be sent to you in the form of a robocall to have the numbers read aloud.
Contras:
- Si la batería de tu smartphone se agota, no podrás recibir mensajes de texto.
- Si viajas al extranjero o no tienes servicio, no puedes recibir mensajes de texto.
- To receive multi-factor texts, you have to provide your phone number to the company that issues them.
- Este método es menos seguro que los otros:
- Los estafadores pueden utilizar los fraudes de phishing para intentar robar las claves de acceso.
- Los estafadores pueden engañarle para que introduzca un código en sitios web falsos.
- Criminals can clone your phone number. That is known as "porting". Porting is when a criminal intercepts the text code by taking your existing cell phone number and transferring it to a different fake account.
Teléfonos y aplicaciones telefónicas: las aplicaciones permiten que su teléfono inteligente actúe como llave de seguridad.
Si decide utilizar una aplicación móvil, como Google Authenticator, debe escanear en la aplicación un código QR presentado por el sitio que desea visitar. Una vez hecho esto, la aplicación generará continuamente los códigos numéricos necesarios para el inicio de sesión. También tienes la opción de imprimir una imagen del código QR para guardarlo. Si pierdes tu teléfono, sólo tienes que escanear el código en uno nuevo.
- Google Authenticator está disponible para teléfonos Android e iOS, pero es necesario tener una cuenta de Google para configurarlo.
- Other popular Account Login Authentication Apps include Microsoft Authenticator, Authy by Twilio, Symantec VIP, and Duo Mobile.
Pros:
- Como la clave de la aplicación se almacena en el teléfono, puedes utilizar este método aunque el dispositivo no esté conectado a una red.
- Si por casualidad alguien consigue robar tu número de teléfono, seguiría necesitando tu teléfono para recuperar la clave de la App.
- Es menos susceptible a la suplantación de identidad, porque no depende de un código de acceso.
- Puedes recibir notificaciones push a través de la aplicación.
Notificaciones sin una aplicación - En lugar de instalar una aplicación, también se puede configurar un sistema basado en push.
- Google Prompt which sends notifications to all the phones signed into your Google account when a new log-in is detected. The notifications include location information for the log-in attempt. You then have the choice of approving or denying the attempt. Google prompts prevents account hacking by sending notifications securely to only your signed-in devices.
- Apple ha adoptado un enfoque similar para sus productos.
Autenticación de factor cero (0FA) - Tecnología emergente para la autenticación móvil sin fricciones.
- En la autenticación de factor cero, el usuario no necesita proporcionar ninguna información para autenticarse en el inicio de sesión o en las transacciones sensibles. En su lugar, el smartphone hace el trabajo.
- Al utilizar este método 0FA, la gran mayoría de los usuarios legítimos disfrutan de un inicio de sesión sin fricciones, dejando las fricciones de autenticación adicionales para los inicios de sesión de alto riesgo.
¿Qué lo hace posible?
- Los smartphones modernos llevan incorporadas tecnologías y sensores.
- Advanced location technology that is being used for zero-factor authentication uses the combination of WiFi, GPS, cellular and Bluetooth signals to identify unique location environments and is able to pinpoint locations within a 10-foot radius. Using this location precision, it is now possible to create a unique location behavior pattern for each user that can be used as a unique identifier.
- No hay dos usuarios que tengan el mismo patrón de comportamiento de localización y el patrón de comportamiento de localización de cada usuario es dinámico y cambia constantemente, por lo que es extremadamente difícil de imitar o falsificar.
- Si un estafador intenta acceder a la cuenta de un usuario con credenciales robadas, y el patrón de localización no coincide, el inicio de sesión se marcará como de alto riesgo, requiriendo pasos adicionales de autenticación para poder continuar.