Compartir a través de


Conceptos básicos de la autenticación de NIST

Use la información de este artículo para conocer la terminología de las directrices del Instituto Nacional de Estándares y Tecnología (NIST). Además, se definen los conceptos de la tecnología TPM (módulo de plataforma segura) y los factores de autenticación.

Terminología

Use la tabla siguiente para conocer la terminología del NIST.

Término Definición
Aserción Instrucción de un comprobador a un usuario de confianza que contiene información sobre el suscriptor. Una aserción puede contener atributos comprobados.
Authentication Proceso de comprobación de la identidad de un usuario.
Factor de autenticación Algo que es, sabe o tiene. Cada autenticador tiene uno o varios factores de autenticación.
Authenticator Algo que el solicitante posee y controla para autenticar la identidad del solicitante.
Demandante Identidad de un usuario que debe comprobarse con uno o varios protocolos de autenticación.
Credential: Objeto o estructura de datos que enlaza de forma autoritativa una identidad a al menos un autenticador de suscriptor que un suscriptor posee y controla
Proveedor de servicios de credenciales (CSP) Entidad de confianza que emite o registra autenticadores de suscriptor y emite credenciales electrónicas para los suscriptores.
Usuario de confianza Entidad que se basa en la aserción de un comprobador o en los autenticadores de un solicitante y sus credenciales, normalmente para conceder acceso a un sistema.
Asunto Una persona, una organización, un dispositivo, un hardware, una red, un software o un servicio.
Suscriptor Entidad que ha recibido una credencial o un autenticador de un CSP.
Módulo de plataforma segura (TPM) Módulo resistente a alteraciones que realiza operaciones criptográficas, incluida la generación de claves.
Comprobador Entidad que comprueba la identidad del solicitante comprobando si tiene y controla autenticadores.

Acerca de la tecnología del Módulo de plataforma segura

Un TPM tiene funciones relacionadas con la seguridad basadas en hardware: un chip TPM, o TPM de hardware, es un procesador criptográfico seguro que facilita la generación, el almacenamiento y la limitación de uso de claves criptográficas.

Para obtener información sobre los TPM y Windows, consulte Módulo de plataforma segura.

Nota:

Un TPM de software es un emulador que imita la funcionalidad de TPM de hardware.

Factores de autenticación y sus puntos fuertes

Puede agrupar los factores de autenticación en tres categorías:

Gráfico de factores de autenticación, agrupados por algo que alguien es, sabe o tiene.

La seguridad del factor de autenticación viene determinada por la certeza de que es algo que solo el suscriptor es, sabe o tiene. La organización NIST proporciona indicaciones limitadas sobre la seguridad de los factores de autenticación. Use la información de la siguiente sección para saber cómo evalúa Microsoft los niveles de seguridad.

Algo que sabe

Las contraseñas son el elemento que se sabe más común y representan la mayor superficie expuesta a ataques. Las siguientes mitigaciones mejoran la confianza en el suscriptor. Son eficaces para evitar ataques de contraseña, como ataques por fuerza bruta, interceptación e ingeniería social:

Algo que se tiene

El nivel de seguridad de algo que se tiene se basa en la probabilidad de que el suscriptor lo mantenga en su poder, sin que el atacante consiga acceder a ello. Por ejemplo, para protegerse frente a amenazas internas, un dispositivo móvil personal o una llave de hardware tienen una afinidad mayor. El dispositivo, o la llave de hardware, es más seguro que un equipo de escritorio en una oficina.

Algo que es

A la hora de determinar los requisitos para algo que se es, tenga en cuenta lo fácil que es para un atacante obtener o suplantar algo como una biométrica. El NIST está redactando un marco para biometría, pero actualmente no acepta datos biométricos como factor único. Debe formar parte de la autenticación multifactor (MFA). Esta precaución se debe a que la biometría no siempre proporciona una coincidencia exacta, como hacen las contraseñas. Para más información, consulte este documento sobre la solidez de la función para los autenticadores: biometría (SOFA-B).

Marco SOFA-B para cuantificar la seguridad biométrica:

  • Tasa de coincidencias falsas.
  • Tasa de errores falsos.
  • Tasa de errores de detección de ataques de presentación.
  • Esfuerzo necesario para llevar a cabo un ataque.

Autenticación de factor único

Puede implementar la autenticación de un solo factor con un autenticador que compruebe algo que sabe o algo que es. Algo que es se acepta como factor de autenticación, pero no como autenticador por sí mismo.

Cómo funciona la autenticación de un solo factor.

Multi-Factor Authentication

Puede implementar MFA usando un autenticador de MFA o dos autenticadores de un solo factor. Un autenticador MFA requiere dos factores de autenticación para una única transacción de autenticación.

MFA con dos autenticadores de un solo factor

MFA requiere dos factores de autenticación, que pueden ser independientes. Por ejemplo:

  • Secreto memorizado (contraseña) y fuera de banda (SMS)

  • Secreto memorizado (contraseña) y contraseña única (hardware o software)

Estos métodos habilitan dos transacciones de autenticación independientes con Microsoft Entra ID.

MFA con dos autenticadores

MFA con un autenticador multifactor

La autenticación multifactor requiere que un factor (algo que sabe o es) desbloquee un segundo factor. Esta experiencia de usuario es más sencilla que el uso de varios autenticadores independientes.

MFA con un solo autenticador multifactor

Un ejemplo es la aplicación Microsoft Authenticator, en el modo sin contraseña: el usuario accede a un recurso protegido (usuario de confianza) y recibe una notificación en la aplicación Authenticator. El usuario proporciona un valor biométrico (algo que es) o un PIN (algo que sabe). Este factor desbloquea la clave criptográfica en el teléfono (algo que tiene), que el comprobador valida.

Pasos siguientes

Introducción a NIST

Más información sobre los AAL

Conceptos básicos sobre autenticación

Tipos de autenticadores de NIST

Obtener NIST AAL1 mediante Microsoft Entra ID

Obtener NIST AAL2 mediante Microsoft Entra ID

Obtener NIST AAL3 mediante Microsoft Entra ID