Las contraseñas tienen los días contados. La autenticación multifactor se impone progresivamente en el entorno digital, un mundo en el que preocupan a partes iguales la protección de la identidad del usuario y su verificación.

Mientras tanto, un preocupante porcentaje de internautas utiliza las mismas contraseñas para todo y solo en España, casi un millón de personas emplean para acceder a sus cuentas la inequívoca 12345 según el ultimo informe de NordPass.

Otro informe de Javelin señala que en 2020, al 22% de las víctimas de fraude les habían robado sus credenciales de contraseña y correo electrónico.

¿El problema? El usuario se preocupa cada vez más por la seguridad, pero al mismo tiempo no quiere renunciar a la comodidad.

En pleno declive de las passwords, ganan terreno otros anglicismos como token o passkey y al mismo tiempo resulta complejo diferenciar entre autenticación, verificación, identificación o autorización.

En Coremain presentamos un pequeño diccionario de términos para comprender qué significa cada uno de ellos.

Ciclo de vida de la identidad

Es un proceso que comienza cuando un usuario se registra y verifica por primera vez su identidad, y continúa con la autenticación de esa identidad, lo que permite actualizaciones continuas a lo largo del tiempo. Finaliza cuando un registro de identidad se retira o invalida

¿Autenticación o autentificación?

Autenticar y autentificar pueden emplearse como sinónimos con el significado de ‘acreditar o dar fe de que un hecho o un documento es verdadero o auténtico’. Consiste en la verificación de las credenciales con las que se identificó el usuario, conocidas como factores de autenticación

Aunque en los últimos años se ha popularizado el uso en España de autenticar, este verbo se empleaba más frecuentemente en América latina, mientras que en España el habitual era el uso de autentificar, de origen más moderno. Ahora está extendido el uso de ambos, según subraya la Real Academia Española (RAE).

Verificación

Comprobación y obtención de información de una persona, empresa u organización para garantizar que cumplan con los estándares o requisitos.

¿Verificación o autenticación?

Ambas son la columna vertebral de la lucha contra el fraude de identidad digital. Cada una es efectiva por separado hasta cierto punto y la combinación de ambas es la solución para construir el sistema de seguridad más fuerte y prevenir el fraude.

Identificación

Es el proceso de presentar las credenciales del usuario. Es clave para ayudar a las empresas a generar confianza con sus clientes, al tiempo que cumplen con las normativas de cumplimiento y mantienen la prevención del fraude.

Autorización

Son las acciones que se permiten realizar al usuario con dichas credenciales

Autenticación multifactor (MFA)

Es un método de autenticación electrónica en el que se requieren dos o más factores
para que un usuario tenga acceso a una página web o aplicación.

Existen cinco tipos de autenticación.

Tres más habituales y otros dos que todavía no están tan en uso, pero que también sirven para comprobar la identidad del usuario.

Por medio de algo que eres (autenticación biométrica)

Reconocimiento facial
Huella dactilar
Reconocimiento de voz
Huella palmar
Reconocimiento de retina

Por medio de algo que tienes

Contraseña de un solo uso
Tarjeta de verificación de identidad personal
Pasaporte

Por medio de algo que sabes

Contraseña
PIN
Clave de seguridad
Respuesta a una pregunta

Por medio de algún sitio en el que estés

Geolocalización móvil
Dirección IP
Dirección de control de acceso al medio

Por medio de algo que haces

Cómo mueves el ratón
Dinámicas de tecleo
Dinámicas de firma
Lo rápido que se escribe
Gestos y toques
Patrones de habla

¿Autenticación multifactor o autenticación multipaso?

La diferencia entre ambas es que la autentificación multifactor verifica todos los factores al mismo tiempo, mientras que la multipaso lo hace por separado.

Por ejemplo, primero pide una contraseña y usuario y luego un token. En el caso de la multifactor pide todo a la vez, con lo que no se puede saber en caso de suplantación si hay un error en el usuario, en la contraseña o en el token.

Token de autenticación

También conocido como dispositivo de confianza, permite a un usuario autentificarse, demostrando su identidad, mediante el almacenamiento de una determinada información personal. Genera una contraseña de un solo uso que normalmente se envía a través de un SMS o una notificación tipo push.

Certificado digital

Se considera el mecanismo de autenticación más seguro y preciso para garantizar y verificar la identidad del usuario.

Es el preferido por las entidades financieras, las más preocupadas por garantizar la seguridad en el acceso a las cuentas y la protección de la identidad de los consumidores. De hecho, la utilización de una autenticación multifactor de al menos dos elementos es de obligado cumplimiento en el sector banca.

Además de actuar como un mecanismo de autenticación, el certificado digital garantiza al usuario la integridad, la confidencialidad y a la empresa la garantía de que el usuario no podrá negar que ha sido quien ha realizado la operación.

Passkey

Es el nuevo sistema que implementará Google para vincular las cuentas personales con los distintos dispositivos que emplea el usuario. Desaparecen las claves alfanuméricas, que se reemplazarán por un sistema biométrico.

Alianza FIDO
Fast Identity Online (FIDO) Alliance es un consorcio de más de 250 empresas líderes en tecnología, agencias gubernamentales, proveedores de servicios, instituciones financieras, procesadores de pagos y otras industrias que se lanzó en 2013 con el objetivo de eliminar el uso de contraseñas en sitios web, aplicaciones y dispositivos.