Conceptos básicos de la autenticación de NIST
Use la información de este artículo para conocer la terminología de las directrices del Instituto Nacional de Estándares y Tecnología (NIST). Además, se definen los conceptos de la tecnología TPM (módulo de plataforma segura) y los factores de autenticación.
Terminología
Use la tabla siguiente para conocer la terminología del NIST.
| Término | Definición |
|---|---|
| Aserción | Instrucción de un comprobador a un usuario de confianza que contiene información sobre el suscriptor. Una aserción puede contener atributos comprobados. |
| Authentication | Proceso de comprobación de la identidad de un usuario. |
| Factor de autenticación | Algo que es, sabe o tiene. Cada autenticador tiene uno o varios factores de autenticación. |
| Authenticator | Algo que el solicitante posee y controla para autenticar la identidad del solicitante. |
| Demandante | Identidad de un usuario que debe comprobarse con uno o varios protocolos de autenticación. |
| Credential: | Objeto o estructura de datos que enlaza de forma autoritativa una identidad a al menos un autenticador de suscriptor que un suscriptor posee y controla |
| Proveedor de servicios de credenciales (CSP) | Entidad de confianza que emite o registra autenticadores de suscriptor y emite credenciales electrónicas para los suscriptores. |
| Usuario de confianza | Entidad que se basa en la aserción de un comprobador o en los autenticadores de un solicitante y sus credenciales, normalmente para conceder acceso a un sistema. |
| Asunto | Una persona, una organización, un dispositivo, un hardware, una red, un software o un servicio. |
| Suscriptor | Entidad que ha recibido una credencial o un autenticador de un CSP. |
| Módulo de plataforma segura (TPM) | Módulo resistente a alteraciones que realiza operaciones criptográficas, incluida la generación de claves. |
| Comprobador | Entidad que comprueba la identidad del solicitante comprobando si tiene y controla autenticadores. |
Acerca de la tecnología del Módulo de plataforma segura
Un TPM tiene funciones relacionadas con la seguridad basadas en hardware: un chip TPM, o TPM de hardware, es un procesador criptográfico seguro que facilita la generación, el almacenamiento y la limitación de uso de claves criptográficas.
Para obtener información sobre los TPM y Windows, consulte Módulo de plataforma segura.
Nota:
Un TPM de software es un emulador que imita la funcionalidad de TPM de hardware.
Factores de autenticación y sus puntos fuertes
Puede agrupar los factores de autenticación en tres categorías:
La seguridad del factor de autenticación viene determinada por la certeza de que es algo que solo el suscriptor es, sabe o tiene. La organización NIST proporciona indicaciones limitadas sobre la seguridad de los factores de autenticación. Use la información de la siguiente sección para saber cómo evalúa Microsoft los niveles de seguridad.
Algo que sabe
Las contraseñas son el elemento que se sabe más común y representan la mayor superficie expuesta a ataques. Las siguientes mitigaciones mejoran la confianza en el suscriptor. Son eficaces para evitar ataques de contraseña, como ataques por fuerza bruta, interceptación e ingeniería social:
Algo que se tiene
El nivel de seguridad de algo que se tiene se basa en la probabilidad de que el suscriptor lo mantenga en su poder, sin que el atacante consiga acceder a ello. Por ejemplo, para protegerse frente a amenazas internas, un dispositivo móvil personal o una llave de hardware tienen una afinidad mayor. El dispositivo, o la llave de hardware, es más seguro que un equipo de escritorio en una oficina.
Algo que es
A la hora de determinar los requisitos para algo que se es, tenga en cuenta lo fácil que es para un atacante obtener o suplantar algo como una biométrica. El NIST está redactando un marco para biometría, pero actualmente no acepta datos biométricos como factor único. Debe formar parte de la autenticación multifactor (MFA). Esta precaución se debe a que la biometría no siempre proporciona una coincidencia exacta, como hacen las contraseñas. Para más información, consulte este documento sobre la solidez de la función para los autenticadores: biometría (SOFA-B).
Marco SOFA-B para cuantificar la seguridad biométrica:
- Tasa de coincidencias falsas.
- Tasa de errores falsos.
- Tasa de errores de detección de ataques de presentación.
- Esfuerzo necesario para llevar a cabo un ataque.
Autenticación de factor único
Puede implementar la autenticación de un solo factor con un autenticador que compruebe algo que sabe o algo que es. Algo que es se acepta como factor de autenticación, pero no como autenticador por sí mismo.
Multi-Factor Authentication
Puede implementar MFA usando un autenticador de MFA o dos autenticadores de un solo factor. Un autenticador MFA requiere dos factores de autenticación para una única transacción de autenticación.
MFA con dos autenticadores de un solo factor
MFA requiere dos factores de autenticación, que pueden ser independientes. Por ejemplo:
Secreto memorizado (contraseña) y fuera de banda (SMS)
Secreto memorizado (contraseña) y contraseña única (hardware o software)
Estos métodos habilitan dos transacciones de autenticación independientes con Microsoft Entra ID.
MFA con un autenticador multifactor
La autenticación multifactor requiere que un factor (algo que sabe o es) desbloquee un segundo factor. Esta experiencia de usuario es más sencilla que el uso de varios autenticadores independientes.
Un ejemplo es la aplicación Microsoft Authenticator, en el modo sin contraseña: el usuario accede a un recurso protegido (usuario de confianza) y recibe una notificación en la aplicación Authenticator. El usuario proporciona un valor biométrico (algo que es) o un PIN (algo que sabe). Este factor desbloquea la clave criptográfica en el teléfono (algo que tiene), que el comprobador valida.
Pasos siguientes
Conceptos básicos sobre autenticación
Tipos de autenticadores de NIST
Obtener NIST AAL1 mediante Microsoft Entra ID