Doble

Autenticación
Abril 2021

Dirección Tecnología de Información USM

Marisol Alvarado A.
Líder de Proyectos
 ¿Qué es doble autenticación ?
Doble autenticación implica que además de requerir un
nombre de usuario y contraseña se solicita el ingreso de
un segundo factor, el cual podría ser un código de
seguridad o un dato biométrico para que la autenticación
sea exitosa.
 Factores de doble autenticación
Un sistema de doble autenticación es aquel que utiliza
dos de los tres factores de comprobación para validar al
usuario.

Estos factores pueden ser:

• Algo que el usuario sabe, una contraseña.
• Algo que el usuario tiene, como un teléfono o token
que le permite recibir un código de seguridad.
• Algo que el usuario es, o sea, una característica
intrínseca del ser humano como huellas dactilares,
iris, etc. (biometria).
 ¿Cuál escoger?
Autenticación biométrica: El primer paso de la
autenticación es introducir el usuario y contraseña. El
segundo paso es el reconocimiento biométrico ya sea
ocular, facial o dactilar. Método seguro, pero caro y
puede implicar mas de un desarrollo dependiendo del
dispositivo en que sea abierta la aplicación.
 ¿Cuál escoger?
Autentificación basada en código de verificación(token):
El primer paso de la autenticación es introducir el
usuario y contraseña. El segundo paso es introducir el
código de verificación que sería enviado por mensaje de
texto a un celular o a un correo personal. Método seguro,
pero se debe contar con alguna de las dos opciones de
envío del código. Este tiene un tiempo de expiración.
 ¿Cuál escoger?
Autenticación biométrica: En este caso la plantilla
biométrica del usuario sería guarda en la base de datos al
momento de registrar la cuenta del usuario.

Autentificación basada en código de verificación(token):

En este caso los datos de envío del token o código de
verificación ya sea celular o correo personal, incluso
correo de recuperación serían guardados en la base de
datos al momento de registrar cuenta del usuario.
 ¿Cuál escoger?
Autenticación biométrica :
• Se necesitan implementos adicionales para su
implementación, lectores de huella, ópticos, etc.
• Se necesita enrolamiento el cual debe ser presencial
para evitar fraudes.
• Requiere previa instalación y capacitación de los
implementos adicionales.

Autentificación basada en código de verificación(token):

• Requiere celular.
• Requiere correo electrónico valido.
• No requiere de implementos adicionales.
• No requiere capacitación previa.
• Requiere un tercer correo o celular en caso de extravió
de celular o correo electrónico
 Tips
En Java través de Spring Security y la librería aerogear-otp-java una aplicación
puede implementar el segundo factor de autenticación o verificación en dos
pasos de la misma forma que los servicios de Google, Amazon, PayPal o Twitter,
incluso posibilitar de que el requerimiento de solicitar segundo factor de
autenticación sea opcional según la preferencia de un usuario y con la posibilidad
de que los usuarios progresivamente habiliten el 2FA. El primer paso es
proporcionar al usuario una clave secreta a través de un código QR que codifica
una clave secreta que se utiliza para generar los códigos de verificación, el
usuario debe escanearlo con la aplicación Google Authenticator con la cámara
para que genere código de 6 dígitos con una validez de 30 segundos en el
momento de autenticarse, este paso se realiza en el momento de registrarse o de
activar el 2FA si es opcional. Con Google Authenticator el código puede ser
introducido con cámara o también mediante el teclado si la aplicación se lo
proporciona en forma de texto en vez de como imagen QR. La ventaja del código
QR es que es más rápido y cómodo.