La contraseña de un solo uso o una OTP es una contraseña que solo es válida una vez. Las OTP se pueden utilizar para mejorar la seguridad y admitir una autenticación sólida. Este artículo explicará los conceptos básicos de las OTP y cómo se pueden implementar.
Hoy en día, la mayoría de las redes empresariales solo requieren un nombre de usuario y una contraseña estática para acceder a datos personales y confidenciales. Este tipo de autenticación de factor único es muy conveniente, sin embargo, no es muy seguro en nuestro mundo moderno. La mayoría de las personas entienden que deben usar contraseñas únicas para cada cuenta en línea. Sin embargo, el 69% de nosotros usamos la misma contraseña de todos modos.
Además, el 47% de las personas usa una contraseña de más de 5 años y la contraseña más utilizada es ‘123456’, utilizada por un asombroso 17% de las personas. Lo que es aún peor, un 95 por ciento de las Personas que lloran los ojos Comparten Hasta 6 Contraseñas con sus amigos.
Incluso si sus usuarios finales son buenos con las contraseñas (usan una contraseña segura diferente para cada cuenta en línea y nunca las escriben en ningún lugar), aún pueden verse comprometidos por malware de registro de teclas o ataques man-in-the-middle. Entonces, ¿cómo se protege a sí mismo y a los activos más valiosos de su empresa de una mala higiene de contraseñas o escuchas electrónicas? Una forma es usar una «contraseña de un solo uso», una contraseña desechable que solo es válida «una vez».
¿Qué es una contraseña de un solo uso?
Las contraseñas de un solo uso son contraseñas que solo son válidas para una sesión de inicio de sesión o transacción, por lo que proporcionan protección contra varios ataques basados en contraseñas, específicamente ataques de rastreo y repetición de contraseñas. Normalmente un OTP es una serie de números o caracteres que se generan automáticamente.
Para que este sistema funcione, la contraseña tiene que cambiar cada vez que se usa, pero también tiene que haber algún tipo de sincronización entre la contraseña en constante cambio, el sistema informático o la aplicación que se está utilizando y el usuario final. Esta sincronización también debe tener lugar sin transmitir datos a través de métodos inseguros, como el correo electrónico.
¿Cómo se sincronizan las contraseñas de un solo uso?
Las contraseñas de un solo uso se pueden generar de varias maneras y cada una tiene ventajas y desventajas en términos de seguridad, conveniencia y costo.
Sincronización de tiempo
Un enfoque para generar contraseñas de un solo uso es usar la sincronización de tiempo. Cada usuario tiene un token personal (que puede parecer una pequeña calculadora o un llavero) con una pantalla que muestra un número que cambia ocasionalmente. Dentro del token personal hay un reloj que se ha sincronizado con el reloj del servidor de autenticación propietario. Tanto el dispositivo como el servidor de aplicaciones generan nuevas OTP basadas en una versión numérica de la hora actual.
Las contraseñas sincronizadas con tiempo no siempre tienen que coincidir perfectamente y, por lo general, hay una ventana donde se aceptarán contraseñas más antiguas o más nuevas. Esto se hace simplemente porque a los humanos les toma un poco de tiempo leer e ingresar la OTP, por lo que, por ejemplo, sería inusual que una contraseña cambie cada segundo, ya que el usuario final no tendría tiempo suficiente para ingresar la contraseña antes de que sea inválida.
La contraseña en sí es generalmente un hash de la hora actual, por ejemplo, 16.43 se convierte en 1643, que luego se ejecuta a través de un generador de código y un proceso matemático llamado función hash (o código hash) para generar un código único de 10 dígitos, que es la contraseña de un solo uso.
El tiempo es, por lo tanto, una parte importante del algoritmo de contraseñas, ya que la generación de nuevas contraseñas se basa en la ‘hora actual’. Si los relojes se desfasan demasiado, el token no generará contraseñas correctas y tendrá que restablecerse. Para evitar el problema de las diferentes zonas horarias, se puede usar una marca de tiempo Unix, que es una hora universal coordinada.
Paso de bloqueo
El segundo método involucra el sistema informático y el token que comienzan con el mismo número compartido (llamado semilla). Cada vez que se genera una nueva contraseña, el dispositivo token incrementa su propio contador interno, y cada vez que inicia sesión, el servidor también incrementa su contador.
Es posible salirse del paso generando contraseñas que no se utilizan, lo que hace que el contador en el token avance más que el contador en el servidor de aplicaciones. Sin embargo, la tolerancia generalmente se crea para que las cosas puedan estar un poco fuera de sincronización, y el servidor (generalmente) se sincronizará automáticamente en el caso de que se desactive.
Esta técnica OTP se llama sincronización de paso de bloqueo o contador, y aunque se requiere hardware propietario, no sufre la desventaja de tener que mantener los relojes a tiempo.
OTP basada en transmisión
El tercer enfoque es completamente diferente. En lugar de que dos dispositivos sean responsables de forma independiente de sus propias contraseñas (que luego se comparan para verificar su validez), las contraseñas son generadas aleatoriamente por el servidor de autenticación. Como esta contraseña es completamente aleatoria, no es posible que un dispositivo token permanezca en el paso automáticamente, por lo tanto, la OTP debe comunicarse activamente al usuario final.
Estos tipos de contraseñas desechables a menudo se conocen como» SMS-OTP», ya que se envían más comúnmente por mensaje de texto, pero también pueden generarse mediante una aplicación o un dispositivo electrónico portátil (llamado token de seguridad) o, en algunos casos, incluso pueden imprimirse y enviarse por correo postal. Cuando desee autenticarse, el sistema le enviará su contraseña y usted la utilizará para iniciar sesión. Una de las grandes ventajas de este método es que elimina la necesidad de proporcionar y mantener hardware propietario.
¿Cómo se transmiten las contraseñas de un solo uso?
Las contraseñas de un solo uso se pueden comunicar a los usuarios finales de varias maneras y cada una tiene ventajas y desventajas en términos de seguridad, comodidad y costo.
Contraseña de un solo uso a través de mensaje SMS
Este método requiere un servicio de SMS confiable y de alta calidad. Una vez que el usuario completa el nombre de usuario y la contraseña correctos durante el inicio de sesión, se activa un mensaje de texto con un OTP, que se envía al número de teléfono móvil registrado en la cuenta del usuario. A continuación, el usuario completa el proceso de autenticación introduciendo el código que aparece en el mensaje SMS en la pantalla de inicio de sesión de la aplicación. Por lo general, a los usuarios finales se les permite un cierto período de tiempo antes de que caduque la contraseña.
Contraseña de un solo uso a través de Voz
Una alternativa al SMS es la voz, que utiliza un teléfono fijo o celular existente para recibir una contraseña hablada como una llamada telefónica en el teléfono fijo o móvil del usuario. Las ventajas de este método son que las contraseñas no se almacenan en el teléfono del usuario, además de que le permite llegar a usuarios con visión limitada. Sin embargo, hay un costo por uso asociado con esta solución y requiere un número de teléfono fijo o móvil ya establecido para funcionar.
Las contraseñas también se limitan a cadenas de caracteres cortas, de lo contrario, transferir la contraseña de la llamada a la pantalla de inicio de sesión se vuelve difícil para el usuario o requiere varios intentos para obtener una coincidencia.
Contraseña de un solo uso por correo electrónico
Si se inscribe una cuenta de correo electrónico junto con una cuenta de usuario, se pueden enviar contraseñas de un solo uso a una dirección de correo electrónico para la autenticación durante el inicio de sesión. La entrega de correo electrónico para contraseñas de un solo uso es una opción rentable, sin embargo, la seguridad y la facilidad de uso pueden sacrificarse. El correo electrónico no estaba destinado a ser el centro de nuestras vidas digitales en la forma en que lo es ahora, por lo que no se diseñó teniendo en cuenta la seguridad o la privacidad.
el 91% de todos los ciberataques comienzan con el correo electrónico, y es el método menos seguro para la autenticación de dos factores. También depende de que los usuarios tengan acceso constante a una cuenta de correo electrónico. Los usuarios también pueden incurrir en solicitudes de restablecimiento de contraseñas y tiempos de espera mientras intentan acceder a su cuenta de correo electrónico para obtener acceso a la FISCALÍA.
Contraseña de un solo uso por correo
Un sistema basado en correo funciona esencialmente de la misma manera que otros sistemas de mensajería, pero la contraseña tarda más en comunicarse al usuario final. Por lo tanto, la validez de la contraseña se amplía para permitir retrasos en el tránsito. Algunos bancos enviarán largas listas impresas de contraseñas de un solo uso (llamadas números de autenticación de transacciones o bronceados) a las organizaciones para que las usen en la banca comercial. El banco tiene una lista de contraseñas coincidentes almacenadas en su sistema informático y las contraseñas deben usarse en secuencia para garantizar una coincidencia.
Las listas y las cuadrículas de números ofrecen soluciones rentables para OTP, pero son lentas y no son muy fáciles de usar. El usuario tiene que mantener una lista de contraseñas que a menudo tiene que ser utilizada en secuencia, además, si su lista de contraseñas se copia o cae en manos equivocadas, alguien tiene todas sus contraseñas.
Contraseña de un solo uso mediante notificación PUSH
Las contraseñas de un solo uso mediante Push son similares a las contraseñas de un solo uso basadas en SMS, sin embargo, esta vez la contraseña generada automáticamente se envía como una notificación push a una aplicación en el dispositivo del usuario. Una vez que se ha enviado la notificación push a la aplicación, el usuario copia el código en la pantalla de inicio de sesión para verificar su identidad. La notificación push es la solución más rentable, ya que utiliza un dispositivo existente (por ejemplo, el dispositivo móvil de los usuarios) y no incurre en los costos de los mensajes SMS.
También es una de las soluciones más seguras, además de ser fácil de usar. Con los teléfonos móviles modernos, incluso puede incluir un tercer factor de autenticación, como un escaneo biométrico (por ejemplo, escaneo de huellas dactilares) para garantizar una seguridad realmente estricta. Las desventajas también son bastante mínimas: las notificaciones push requieren una aplicación dedicada y el acceso a la aplicación está sujeto a la pérdida del teléfono celular.
Contraseña híbrida de un solo uso (lo mejor de ambos mundos)
Puede combinar las fortalezas de los mensajes SMS y push y utilizar un sistema híbrido. La contraseña se envía inicialmente mediante notificación push, que es rápida y rentable, pero si el usuario no tiene instalada la aplicación o no está conectado, la contraseña se puede enviar por SMS. También puede agregar una tercera opción de reserva para que la contraseña se entregue por voz si los mensajes push y SMS fallaron por alguna razón.
El método de entrega de contraseñas predeterminado puede ser el más efectivo para mantener bajos los costos, pero al usar una solución híbrida, se asegura de que los usuarios siempre puedan acceder a su aplicación, lo que a su vez promueve una mejor interacción con la aplicación.
Una OTP puede proporcionar una gran seguridad y una autenticación sólida.
Conclusión
El usuario empresarial promedio tiene 191 contraseñas y escribe un promedio de 8 contraseñas diferentes por día. La mayoría de las veces, esto hace que los usuarios finales usen las mismas contraseñas para varias cuentas, escriban sus contraseñas en notas post-it o bombardeen su servicio de asistencia de TI con solicitudes de restablecimiento de contraseñas: en promedio, las solicitudes de restablecimiento de contraseñas representan entre el 10% y el 30% de todas las llamadas al servicio de asistencia de TI.
La autenticación de dos factores es especialmente importante cuando se trata de proteger los datos empresariales del ciberdelito y el fraude. La ventaja más importante de las OTP es que, a diferencia de las contraseñas estáticas, no son vulnerables a los ataques de repetición.
La autenticación de dos factores (en forma de contraseñas de un solo uso), endurece un ID de usuario tradicional y un sistema de contraseñas estáticas al agregar otra credencial dinámica. Incluso si sus usuarios utilizan la misma contraseña (o similar) para cada sistema, su sistema se vuelve menos vulnerable, ya que es poco probable que ambas capas de seguridad se vean comprometidas por un hacker.
También hay un tercer factor disponible, p. ej. huellas dactilares, escaneo de retina, huella de voz, reconocimiento facial, etc., que se pueden usar para agregar otra capa de seguridad. Es lógico pensar que cuantos más factores se requieran para autenticarse, más seguros serán sus sistemas.
Haga clic aquí para ver nuestra guía sobre Autenticación Reforzada de clientes (SCA), un requisito para los pagos en línea a finales de 2020.
En el lado negativo, las contraseñas seguras de un solo uso son difíciles de memorizar para los seres humanos, por lo tanto, requieren tecnología adicional para funcionar. Para los sistemas OTP que dependen de la sincronización de pasos de bloqueo o de contador, los generadores de contraseñas deben hacer frente a la situación en la que un token electrónico se desconecta de la sincronización con su servidor, lo que conlleva un costo de desarrollo adicional. Los sistemas sincronizados con el tiempo, por otro lado, evitan esto a expensas de tener que mantener un reloj en los tokens electrónicos (y un valor de desplazamiento para tener en cuenta la deriva del reloj).
Las soluciones más baratas (y mejores) son las que ofrecen OTPs sin los costos asociados con el hardware propietario. Los métodos simples, como las listas generadas manualmente o las cuadrículas de números, ofrecen soluciones de bajo costo, pero son lentos y difíciles de mantener. Los usuarios deben llevar una lista de contraseñas y llevar un registro de dónde se encuentran en la lista.
Además, si la lista cae en las manos equivocadas, alguien tiene todas tus contraseñas. Por lo tanto, las mejores soluciones utilizan un dispositivo existente (por ejemplo, un teléfono móvil) y entregan contraseñas de un solo uso sin los costos asociados con la mensajería SMS (es decir, notificaciones push).
Haga clic aquí para leer nuestros pensamientos sobre el uso compartido de contraseñas (¡sabemos que usted también es culpable de esto!)
Para mantener seguros sus datos corporativos, necesita saber cómo generar contraseñas seguras de un solo uso para una autenticación sólida de dos o varios factores. También necesita saber cómo distribuir contraseñas de un solo uso a clientes o empleados, para que el sistema que ha creado no sea vulnerable a ataques. Hable con un experto en seguridad como 10Duke para averiguar cómo implementar la autenticación segura de dos o varios factores, para mantener seguros a sus empleados y sus aplicaciones.