Facebooktwitterlinkedin

Los sistemas de verificación en múltiples pasos (multi-factor authentication o MFA por sus siglas en inglés) se usan para ofrecer una segunda capa de seguridad que complemente a las contraseñas. En un contexto en el que la mayoría de las plataformas utilizan la combinación de correo electrónico y contraseña como sistema de identificación principal, es necesario implementar métodos de seguridad adicionales para hacer frente a los ataques de suplantación de identidad.

Las contraseñas han demostrado ser ineficaces en términos de seguridad, tanto porque los usuarios no siempre escogen las mejores, como por la vulnerabilidad de las bases de datos de las empresas. Por tanto, es muy recomendable el uso de capas adicionales de seguridad, como contraseñas de un solo uso, autenticación entre dispositivos o magic links, enlaces que permiten la autenticación del usuario.

Los procesos de autenticación en múltiples factores tienen muchas aplicaciones en el mundo real. Se pueden utilizar para abordar diferentes problemas, en diferentes etapas de un proceso y se pueden implementar con diferentes métodos. Hoy, exploramos todos estos casos con ejemplos reales, extraídos de empresas que se toman muy en serio su seguridad.

1. Google: Verificación en dos pasos después de un intento de inicio de sesión desde un nuevo dispositivo

El caso de uso

El servicio Google Authenticator se usa ampliamente entre muchas empresas. Seguro que ya lo has visto antes: cuando intentas iniciar sesión en una plataforma desde un nuevo dispositivo, se presenta la siguiente pantalla:

Aquí se te pide que vayas a por tu dispositivo móvil y que toques la pantalla emergente para acceder a la plataforma. A veces, se te pedirá que toques el código que aparece en el primer dispositivo. Así, cuando coincidan se te dará permiso para acceder a la plataforma.

Los puntos clave

  • Flujo de verificación: El segundo paso de verificación se produce según la localización del usuario, la frecuencia de inicios de sesión y el dispositivo desde el que se inicia sesión. Cuando una de estas reglas falla o cuando se reconoce un patrón inusual, a los usuarios se les invita a verificar su identidad.
  • Tipos de verificación: Lo que el usuario conoce, lo que el usuario tiene, cuándo o dónde está el usuario. Aquí están implicados varios factores: contraseñas, códigos, acceso a un teléfono y ubicación son algunos de ellos.
  • Experiencia de usuario: Añadir una segunda capa de seguridad siempre implica cierto nivel de fricción. En este caso está bien orientado, ya que pulsar un botón es más sencillo que introducir un código
  • Nivel de seguridad: Alto. Un sistema de verificación complementario asegura que las contraseñas no puedan ser interceptadas.

Google activará la verificación en dos pasos para todos sus usuarios

2. Twitch: Verificación multifactorial antes de hacer streaming

El caso de uso

Twitch es una plataforma con la que los usuarios pueden emitir su propio contenido en directo. Aunque su proceso de registro no requiere de verificación y utiliza la combinación de email y contraseña, la autenticación en varios pasos llega cuando el usuario quiere empezar a emitir.

Este uso de la autenticación en varios pasos asegura de forma inteligente que el proceso de registro sea sencillo, lo cual es clave para obtener buenas tasas de registro y que no se afecte negativamente a la experiencia de usuario. De cualquier manera, la seguridad está presente: en el caso de que se produjera una suplantación en la cuenta, el hacker no podría ejecutar ninguna acción maliciosa ni acceder a información.

En este caso, el segundo factor de autenticación es la verificación del número de teléfono. Los usuarios tienen que introducir su número para recibir una contraseña de un solo uso que verifique su identidad.

Los puntos clave

  • Flujo de verificación: La autenticación en varios pasos se ejecuta justo antes de que la acción principal pueda ser desarrollada. Si la cuenta de un usuario se hackea, solo se podrían realizar acciones sin consecuencias.
  • Tipos de verificación: Lo que el usuario conoce y lo que el usuario tiene. Este sistema de seguridad incluye la combinación de email y contraseña, además del código recibido.
  • Experiencia de usuario: El segundo paso de este sistema solo se produce cuando el usuario quiere emitir, así que la experiencia del usuario no se interrumpe en el proceso de registro, ni tampoco mientras consume el contenido de otros usuarios.
  • Nivel de seguridad: Alto. En el caso poco probable de que se hackea una cuenta, no se podrían realizar actividades maliciosas. Es (casi) imposible acceder a los datos del usuario o suplantar su identidad.

3. Tinder: Dos contraseñas de un solo uso, tanto por SMS como por email

Tinder es una app de citas con la que los usuarios pueden mostrar su perfil para hacer match con otros usuarios, empezar conversaciones y posiblemente tener citas. Acceder a una cuenta sin el permiso del usuario tiene unas desventajas bastante obvias.

El proceso de registro requiere que se verifique el número de teléfono: una contraseña de un solo uso se envía al móvil del usuario cuando este se registra por primera vez. Las contraseñas no son necesarias para crear una cuenta ni para iniciar sesión. Pero, además de la verificación del teléfono, otros sistemas MFA se ejecutan. 

Cuando un usuario deja de usar Tinder e intenta iniciar sesión después de cierto tiempo, dos procesos de verificación se ejecutan. Primero, el usuario recibe un código en su móvil. Después de que este sea verificado, el usuario también tiene que verificar su dirección de correo con un código de verificación diferente.

 

 

Los puntos clave

  • Flujo de verificación: La verificación en varios factores está presente en dos etapas distintas de la experiencia del usuario. Por un lado, los usuarios tienen que verificar su dirección de correo electrónico y su número de teléfono cuando se registran. Por otro lado, también tienen que verificar su cuenta una vez más si empiezan a usar la app después de un tiempo de inactividad. .
  • Tipos de verificación: Lo que el usuario tiene, dónde o cuándo está el usuario. Aquí se implementan distintos tipos de verificación: el principal es la verificación del teléfono con una contraseña de un solo uso, además de la verificación del correo electrónico cuando la ubicación o la frecuencia de inicios de sesión son sospechosos.
  • Experiencia de usuario: Tener muchos sistemas de verificación puede llegar a ser frustrante para los usuarios. El lapso de tiempo que inicia el sistema MFA no está claro, pero estamos seguros que Tinder tiene sus propias reglas basadas en datos para activar esta medida de seguridad.
  • Nivel de seguridad: Muy alto. Aunque algunos sistemas de verificación pueden ser vulnerables si el teléfono del usuario se hackea, este método incluye dos métodos diferentes: verificar el email y el teléfono. Las posibilidades se reducen cada vez más, además de que eliminar contraseñas siempre nos parece una buena idea.

4. Paypal: Un código de verificación cuando se ejecutan varios pasos en un lapso corto de tiempo

La banca y las finanzas son los sectores donde más se utiliza la verificación multifactorial. Cuando están en juego grandes sumas de dinero, cuantos más métodos de verificación, mejor. Ilustraremos este caso de uso con Paypal, pero la mayoría de los bancos o plataformas de pago en línea tienen flujos similares.

El caso de uso

Paypal es una plataforma ampliamente conocida de pagos en línea. Se puede utilizar para transferir dinero online o ejecutar pagos de una manera fácil y segura. El sistema de identificación de Paypal se basa en la combinación de correo electrónico y contraseña, pero el usuario debe cumplir con varios sistemas de autenticación con múltiples factores para comenzar a usar su cuenta. Al crear una cuenta, la verificación del teléfono es el primer paso del proceso de registro. Más adelante, el usuario también debe verificar su dirección de correo electrónico.

 

 

Además de esto, los usuarios pueden añadir diferentes configuraciones de seguridad en los ajustes de su cuenta, incluida la verificación en dos pasos, preguntas de seguridad y más.

 

Este es el flujo que se utiliza para iniciar sesión en Paypal, pero se utilizan otros métodos de verificación cuando se detecta una actividad sospechosa. Por ejemplo, cuando se ejecutan dos pagos con Paypal en un lapso de tiempo de menos de 30 minutos, se activa la verificación a través del número de teléfono.

 

Los puntos clave

  • Flujo de verificación: El flujo de registro de Paypal incluye varios tipos de factores de verificación: verificación de teléfono, configuración de contraseña y verificación de correo electrónico. Además de esto, se activan diferentes pasos de verificación cuando se producen inicios de sesión sospechosos. Normalmente, este paso de verificación es una contraseña de un solo uso que se envía al teléfono del usuario.
  • Tipos de verificación: Lo que el usuario conoce, lo que el usuario tiene, lo que el usuario es y dónde y cuándo está el usuario. Paypal combina contraseñas, códigos de un solo uso, verificación de pasaportes, verificación de fotos y sistemas adicionales basados ​​en la ubicación y frecuencia del intento de inicio de sesión. 
  • Experiencia de usuario: La experiencia del usuario está muy cuidada. La mayoría de los métodos de seguridad son opcionales y no interfieren con el proceso de registro. Además, las opciones de inicio de sesión automático están disponibles para realizar compras más rápidamente.
  • Nivel de seguridad: Muy alto. Aquí se implementan varios procesos de verificación, lo que garantiza un nivel de seguridad superior para los usuarios, sin que la experiencia se vea afectada. Además, estamos seguros de que Paypal tiene montones de procesos de verificación que se ejecutan sin interferir y que garantizan un nivel de seguridad superior.

Conclusiones

Los sistemas de autenticación de múltiples factores ya son familiares para la mayoría de nosotros. Es fácil encontrar contraseñas de un solo uso a diario. Lo que la mayoría de la gente no ve es en qué etapas de la experiencia del usuario se activan estos métodos de MFA.

Si tú también quieres implementar MFA en tus flujos, te recomendamos que analices las necesidades y problemas de tus sistemas de registro y qué acciones pueden causar una brecha de seguridad. Identificarlos te ayudará a saber cuál es el mejor caso de uso de un sistema de verificación multifactor para tus usuarios y tu negocio.

Para crear tus propios flujos de registro e inicio de sesión y personalizarlos: echa un vistazo a Arengu e implementa fácilmente diferentes procesos de verificación multifactorial en las etapas que prefieras. Personaliza los flujos según tus necesidades y sin tener que programar y empieza a fortalecer la seguridad de tus flujos de verificación de usuarios.

Imagen: Depositphotos

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Escribir comentario

¡Mantente al día!