Autenticación fuera de banda
La autenticación fuera de banda mejora la seguridad al utilizar un canal de comunicación independiente, o "banda", para autenticar desde el canal o dispositivo principal que se esté utilizando. Esto se opone a la "autenticación dentro de banda": al enviar las credenciales por el mismo canal dentro de banda, se utiliza un canal independiente "fuera de banda" para un paso de autenticación adicional.
En términos más sencillos, fuera de banda significa que la autenticación es independiente del dispositivo, de modo que aunque un dispositivo esté en peligro, la autenticación no lo está.
La solución biométrica facial de iProov aprovecha la autenticación fuera de banda real. El proceso de autenticación tiene lugar en la nube y no en el propio dispositivo del usuario. Esto separa el plano de autenticación del plano del dispositivo.
Entre las ventajas de esta arquitectura destacan:
- Seguridad frente a dispositivos comprometidos: Si un atacante obtiene acceso completo al dispositivo de un usuario, el proceso de autenticación fuera de banda sigue siendo seguro, ya que la autenticación se procesa independientemente del dispositivo; está aislada de ese dispositivo comprometido.
- Evitar las vulnerabilidades en banda: La autenticación en banda ofrece menos seguridad de la que se percibe. Por ejemplo, si una organización envía contraseñas de un solo uso (OTP) que comprometido para autenticar a una persona, el código OTP no proporciona ninguna seguridad adicional. El malhechor puede copiar las OTP generadas por correo electrónico, autenticador o SMS en ese dispositivo porque se envían al dispositivo al que el estafador ya tiene acceso. El acceso al dispositivo permite acceder a la OTP. Se trata de una vulnerabilidad crítica.
- Comodidad para el usuario final: La autenticación biométrica basada en la nube le permite ofrecer una verdadera autenticación fuera de banda sin requerir el uso de múltiples dispositivos. Esto maximiza la comodidad para el usuario en comparación con otros flujos de usuario; imagine que alguien introduce su contraseña en su escritorio pero no tiene su teléfono con él (o pierde su teléfono por completo) - están completamente bloqueados del proceso de autenticación en este momento, lo que disminuirá las tasas de éxito.
Sigue habiendo vulnerabilidades cruciales si todos los factores de autenticación siguen centralizados en el mismo dispositivo. Por ejemplo, si un usuario está comprando algo a través de una aplicación móvil y el proveedor de la aplicación envía un código SMS a ese dispositivo móvil para verificar la compra, el código SMS en realidad no está proporcionando ninguna seguridad adicional: el código se envía al mismo dispositivo y es, por lo tanto, "en banda". Si el dispositivo está en peligro, la OTP carece de valor.
iProov asume que el dispositivo no es de confianza y completa la autenticación de forma segura y privada en la nube, por lo que es independiente del dispositivo utilizado. Incluso si un actor malintencionado tuviera pleno acceso al dispositivo de otro, el proceso de autenticación seguiría siendo seguro.
Las organizaciones deben adoptar un enfoque integral y multicapa de la seguridad. El escenario ideal es descentralizar las señales de identidad a través de múltiples fuentes de confianza, combinando la autenticación fuera de banda con la biometría y otras señales recogidas de forma independiente de diferentes canales bajo la supervisión de un centro de operaciones de seguridad.