En seguridad, tanto informática como tradicional, se denomina autenticación al proceso por el cuál se intenta verificar la autenticidad de una identificación. Esta definición formal viene a decir que ya se intenta verificar que quien accede a un sistema o servicio sea quien dice ser. Para conseguir esta autenticación se pueden utilizar cuatro aproximaciones diferentes, si bien últimamente se está extendiendo el uso de un doble factor de autenticación para mejorar el nivel de seguridad y cubrir las vulnerabilidades de una opción con la otra.
Veamos las cuatro aproximaciones clásicas:
Autenticación por lo que se sabe
Se trataría de la autenticación más simple y tradicional: las contraseñas. Cuando un usuario (una identidad dentro del sistema) conoce la clave de acceso al mismo, el sistema considera que el usuario es quien dice ser y lo deja acceder. Creo que no hace falta dar ejemplos sobre servicios que usan las contraseñas para acceder 😉
Se trata del sistema más sencillo tecnológicamente pero también uno de los más vulnerables, ya que la contraseña puede ser obtenida por un usuario malicioso (phishing, ingeniería social, etc.) y hacer un uso fraudulento del servicio.
Autenticación por lo que se tiene
El usuario demuestra ser quien dice ser al tener un objeto que sólo él debería tener. En el mundo físico podríamos hacer un símil con las tarjetas magnéticas que permiten el acceso a diferentes edificios. Este factor de autenticación es ampliamente utilizado por la banca electrónica cuando al ordenar una transacción, el sistema envía un código al teléfono móvil registrado del usuario. Así la empresa supone que ese código (aleatorio y de uso único) sólo lo recibe un teléfono móvil y que si, de verdad, eres el usuario que dices ser tendrás el teléfono encima.
Autenticación por lo que se es
Este factor de autenticación busca verificar la identidad mediante la detección de una característica física exclusiva del usuario. El método más extendido dentro de este grupo sería la identificación por huella dactilar (acceso a edificios, teléfonos móviles, etc.).
Existen diferentes propuestas para obtener este factor de autenticación (huellas dactilares, comparación del iris de los ojos, escaneo 2D/3D de la cara, etc.) aunque todas ellas dependen de una toma de datos previa del usuario de forma presencial, lo cuál dificulta su uso en controles de acceso no físicos.
Autenticación por lo que se es capaz
Este factor de autenticación es el que ha aparecido más tarde y el más difícil de implementar: busca verificar la identidad de un usuario por ser capaz de realizar una acción de forma única. Quizás hayáis visto en películas una sala donde unos sensores en el suelo detectaba la forma de caminar del propietario y si alguien accedía pero caminar de igual manera se activaba la alarma. Un ejemplo de esta aproximación en el mundo digital sería el implementado por la página de MOOC Coursera.org: para que la universidad que realiza el curso emitiese un certificado oficial con el nombre del alumno debía asegurarse de que era quien decía ser (de otra forma sería fácil copiar y obtener dicho certificado). Así, además de pagar la cuota correspondiente (puedes hacer los cursos de forma gratuita pero sin certificado oficial), el alumno debía realizar las prácticas y trabajos directamente sobre una plataforma web específica. Dicha plataforma detectaba y analizaba los patrones de escritura (veces que borraba; si redactaba párrafos largos del tirón y luego corregía o al contrario siempre hacía frases cortas; si hacía los trabajos en tandas largas o en muchas veces con poco tiempo; etc.) y así podía concluir que la persona que había realizado todas las prácticas era la misma y por lo tanto era merecedora del título oficial.
Seguridad por múltiples factores de autenticación
Cada uno de las aproximaciones e implementaciones técnicas de cada factor de autenticación tiene sus propias debilidades (olvidos de contraseñas, pérdidas de pases, una cicatriz que modifica la huella dactilar, etc.) por lo que para las operaciones que precisan de un mayor nivel de seguridad se suelen combinar diferentes factores de autenticación. Estamos acostumbrados que para acceder a la banca electrónica tengamos unas claves de acceso (autenticación por conocimiento) que nos permite visualizar la información pero que para realizar una operación nos soliciten un segundo código bien sea en una tarjeta de coordenadas o bien enviándonos dicho código al móvil (autenticación por posesión).