Como proveedor de servicios gestionados (MSP), la ciberseguridad nunca está lejos de su mente. Investigaciones recientes estiman que los daños causados por la ciberdelincuencia alcanzarán una sorprendente cifra de 6 billones de dólares al año para 2021, en comparación con los 3 billones de dólares de 2015. Para mantener estos costos al mínimo para sus clientes, es su responsabilidad no solo comprender las mejores prácticas para la seguridad de los usuarios y la red, sino también comunicarlas a los usuarios finales relevantes. Después de todo, sus clientes confían en su equipo para guiarlos a través del panorama de TI en constante evolución.

Si bien actualmente existe una gran cantidad de métodos de autenticación de red para ayudar a ejecutar una estrategia de seguridad sólida, la autenticación basada en tokens es una de las favoritas entre muchos MSP. Al combinar este proceso probado y verdadero con otras medidas de seguridad integrales, los MSP ayudan a mantener a sus clientes a salvo de brechas de seguridad que ponen en peligro sus resultados y su reputación.

¿Qué es la autenticación basada en tokens?

La autenticación basada en tokens es solo uno de los muchos métodos de autenticación web utilizados para crear un proceso de verificación más seguro. Otros métodos de autenticación web incluyen la autenticación biométrica y la autenticación con contraseña. Si bien cada método de autenticación es único, todos los métodos pertenecen a una de las tres categorías siguientes: conocimiento (algo que conoces), herencia (algo que eres) y posesión (algo que posees).

La autenticación con contraseña entra en la categoría de conocimiento porque los usuarios confían en una palabra o frase que han creado previamente para verificar su identidad. La autenticación biométrica es un ejemplo de» algo que eres » debido al uso de rasgos biológicos, como huellas dactilares. Y por último, pero no menos importante, la autenticación basada en tokens pertenece a la categoría de posesión.

La autenticación de tokens requiere que los usuarios obtengan un código (o token) generado por computadora antes de que se les conceda la entrada de red. La autenticación de tokens se suele usar junto con la autenticación de contraseña para añadir una capa de seguridad. Esto es a lo que nos referimos como autenticación de dos factores (2FA). Eso significa que incluso si un atacante implementa con éxito un ataque de fuerza bruta para eliminar cualquier contraseña, también tendrá que omitir la capa de autenticación de tokens. Sin acceso al token, obtener acceso a la red se vuelve cada vez más difícil. Esta capa adicional desalienta a los atacantes y puede salvar a las redes de brechas potencialmente desastrosas.

¿Cómo funcionan los tokens?

En muchos casos, los tokens se crean a través de llaves o llaveros que generan un nuevo token de autenticación cada 60 segundos de acuerdo con un algoritmo conocido. Debido a la potencia que tienen estos dispositivos de hardware, los usuarios deben mantenerlos seguros en todo momento para asegurarse de que no caigan en las manos equivocadas. Como tal, los miembros del equipo deben renunciar a su dongle o fob cuando termine su empleo.

Los sistemas de tokens más comunes contienen un encabezado, carga útil y firma. El encabezado consiste en el tipo de carga útil, así como el algoritmo de firma que se está utilizando. La carga útil contiene las afirmaciones, que son simplemente cualquier declaración que pertenezca al usuario. La firma es exactamente lo que parece: la firma utilizada para demostrar que el mensaje no se ha puesto en peligro durante el transporte. Estos tres elementos trabajan juntos para crear un sistema de autenticación altamente eficiente y seguro.

Si bien estos sistemas tradicionales de autenticación de tokens siguen en vigor hoy en día, el auge de los teléfonos inteligentes ha hecho que la autenticación basada en tokens sea más fácil que nunca. Los teléfonos inteligentes ahora se pueden aumentar para que sirvan como generadores de código, proporcionando a los usuarios finales los códigos de seguridad necesarios para obtener acceso a su red en cualquier momento dado. Como parte del proceso de inicio de sesión, los usuarios reciben un código de acceso único criptográficamente seguro que está limitado a 30 o 60 segundos, dependiendo de la configuración en el extremo del servidor. Estos tokens suaves se generan mediante una aplicación de autenticación en el dispositivo o se envían a pedido a través de SMS.

La llegada de la autenticación basada en tokens para teléfonos inteligentes significa que la mayoría del personal ya tiene el hardware para generar los códigos. Como resultado, los costos de implementación y la capacitación del personal se mantienen al mínimo, lo que hace que esta forma de autenticación basada en tokens sea una opción tentadora para muchas empresas.

¿Es segura la autenticación basada en tokens?

A medida que los ciberdelincuentes avanzan, también lo deben hacer las prácticas y políticas de protección que implementan los MSP. Debido al creciente uso de ataques de fuerza bruta, ataques de diccionario y tácticas de phishing para arrebatar credenciales de usuario, se está haciendo evidente que la autenticación con contraseña ya no es suficiente para mantener a raya a los atacantes.

La autenticación basada en tokens, cuando se utiliza en conjunto con otras prácticas de autenticación, crea una barrera de 2FA diseñada para detener incluso al hacker más avanzado en sus pistas. Debido a que los tokens solo se pueden extraer del dispositivo que los produce, ya sea un llavero o un teléfono inteligente, los sistemas de autorización de tokens se consideran altamente seguros y efectivos.

Pero a pesar de las muchas ventajas asociadas con una plataforma de tokens de autenticación, siempre existe una pequeña posibilidad de riesgo. Si bien los tokens basados en teléfonos inteligentes son increíblemente convenientes de utilizar, los teléfonos inteligentes también presentan vulnerabilidades potenciales. Los tokens enviados como textos son más riesgosos porque pueden ser interceptados durante el tránsito. Al igual que con otros dispositivos de hardware, los teléfonos inteligentes también pueden perderse o robarse y terminar en manos de aquellos con intenciones peligrosas.

Prácticas recomendadas de autenticación basadas en tokens

Implementar una estrategia de autenticación sólida es fundamental cuando se trata de ayudar a sus clientes a proteger sus redes de una brecha de seguridad. Sin embargo, para que su estrategia sea realmente efectiva, requiere un estricto cumplimiento de todas las mejores prácticas relevantes. Estos son algunos factores clave a tener en cuenta al implementar una estrategia de autenticación basada en tokens:

• Ponga en juego el token correcto: Si bien existen varios tokens web, ninguno coincide con la popularidad y fiabilidad del token Web JSON (JWT). JWT se considera un estándar abierto (RFC 7519) para transmitir información confidencial entre varias partes. La información intercambiada se firma digitalmente mediante un algoritmo o emparejamiento de clave pública/privada para garantizar una seguridad óptima.
• Manténgalo privado: Un token debe tratarse de la misma manera que las credenciales de usuario. Eduque a los clientes sobre la importancia de mantener sus códigos de tokens privados, es decir, tratarlos de la misma manera que lo harían con el código en una bóveda llena de sus posesiones más valiosas. Esta mentalidad es particularmente relevante cuando se trata de la clave de firma.
• Aproveche las conexiones HTTPS: Las conexiones HTTPS se han construido con los protocolos de seguridad más importantes, aprovechando el cifrado y las certificaciones de seguridad diseñadas para proteger los datos confidenciales. Es importante utilizar la conexión HTTPS frente a HTTP o cualquier otra forma de conexión al enviar tokens, ya que estos sistemas alternativos enfrentan mayores posibilidades de interceptación por parte de un atacante.

Cosechando los beneficios de los tokens de autenticación

Históricamente, una capa de autenticación era el estándar de oro. Pero en el clima de ciberseguridad actual, en el que los hackers son más astutos que nunca, una autenticación es lo mínimo. Las prácticas de autenticación basadas en el conocimiento funcionan mejor cuando se implementan junto con las basadas en la posesión para formar sistemas 2FA robustos.

Aquí es donde entra en vigor la autenticación de tokens. Los sistemas de tokens que dependen del hardware para implementar códigos generados por computadora son un componente crítico de cualquier estrategia de seguridad integral. Estos sistemas ponen a 2FA a trabajar para detener a los atacantes antes de que obtengan acceso a la red y causen estragos en ella.

Además de proteger proactivamente las redes de clientes, es fundamental que los MSP también ayuden a los clientes a reaccionar ante las filtraciones de datos. En el caso de que un mal actor logre acceder con éxito a una red, tener datos almacenados de forma segura en la nube puede evitar que sus clientes tengan que ser víctimas de la pérdida de datos o la amenaza de cuantiosos rescates.