Autenticación basada en el conocimiento (KBA)
La autenticación basada en el conocimiento (Knowledge-Based Authentication, KBA) se refiere al uso de factores de conocimiento para la autenticación, es decir, piezas de información que supuestamente sólo usted conoce, como una contraseña o el nombre de su primera escuela o mascota. A veces se denominan secretos compartidos porque su seguridad depende de que sólo los conozcan usted y la persona con la que compartió el secreto.
La autenticación basada en el conocimiento puede incluir lo siguiente
- Contraseñas o PIN: Las contraseñas y los PIN son métodos tradicionales de autenticación y, por lo general, la gente está acostumbrada a utilizarlos. Sin embargo, no son seguros porque pueden ser fácilmente adivinados, compartidos o robados. Un estudio de iProov muestra que el 75% de los consumidores ha utilizado la contraseña de otra persona para acceder a un servicio en línea. Además, debido a las brechas de seguridad, el 63% de los consumidores ha tenido que cambiar de contraseña. Las contraseñas tampoco son fáciles de usar. Para hacerlas más seguras, tienen que ser más complejas. Este factor las hace más difíciles de recordar, lo que significa que los usuarios recurren constantemente a la función "Olvidé mi contraseña" o encuentran soluciones (como anotar las contraseñas), lo que las hace menos seguras. Forrester Research calcula que el coste medio de un solo restablecimiento de contraseña realizado por el servicio de asistencia es de unos 70 dólares, mientras que Gartner estima que entre el 20% y el 50% de todas las llamadas al servicio de asistencia son para restablecer contraseñas.
- Preguntas de seguridad: Se pide al usuario que responda a una pregunta, como el apellido de soltera de su madre o el nombre de su primera mascota. Esta información puede encontrarse a veces en Internet, lo que significa que a menudo no es segura. Hacer varias preguntas de seguridad también puede crear fricción y provocar frustración en el usuario.
La autenticación basada en el conocimiento puede ser estática o dinámica. Estática puede ser, por ejemplo, el apellido de soltera de tu madre o el nombre de tu primera mascota. Los secretos compartidos dinámicos se dan cuando un banco puede hacerte preguntas sobre tu cuenta que sólo tú debes saber, por ejemplo, para nombrar el importe de una transacción concreta que realizaste en una fecha determinada.
Los factores de conocimiento son vulnerables al robo si se engaña a la víctima para que los comparta con un estafador. Esto puede hacerse mediante un proceso llamado ingeniería social, en el que un estafador se hace pasar por una parte genuina o manipula a los usuarios para que revelen sus secretos compartidos.
Además, el problema con los secretos compartidos tanto estáticos como dinámicos es que los usuarios pueden olvidarlos con el tiempo o no conocer las respuestas. Esto crea mucha fricción durante un proceso de autenticación y puede hacer que los usuarios abandonen por completo o recurran a procesos manuales que son costosos y/o requieren mucho tiempo.
Si se utiliza, la autenticación basada en el conocimiento se combina mejor con otros métodos de autenticación más seguros, como la tecnología de verificación facial biométrica de iProov, como parte de una estrategia de autenticación multifactor o de autenticación escalonada.
Más información sobre la autenticación basada en el conocimiento
Artículo: Los riesgos de las contraseñas