Autenticació de doble factor: què és, com s’utilitza i en quins casos es pot emprar

Vols que els teus clients se sentin segurs quan realitzen transaccions amb la teva empresa? Estem acostumats que quan entrem en una pàgina web ens sol·licitin el nom d’usuari i la contrasenya, però, aquesta forma d’identificació no està exempta de riscos i no són poques les empreses que han patit ciberatacs que han posat en risc la seguretat de milers de clients. Per a una major seguretat es pot utilitzar l’autenticació de doble factor. En aquest post t’expliquem en què consisteix, com s’utilitza i en quins casos es pot aplicar.

Tots tenim informació en diverses pàgines webs i no té la mateixa rellevància la informació dels comptes bancaris, que la d’una xarxa social, per exemple. En aquest sentit, segons Forbes les empreses de serveis financers són víctimes de ciberatacs amb una freqüència 300 vegades més gran que les empreses d’altres sectors. Davant d’aquesta situació, l’autenticació de doble factor és un element més que pot protegir aquella informació més sensible.

Riscos de ciberseguretat en les empreses

Actualment hi ha multitud d’amenaces relacionades amb la ciberseguretat i poden suposar greus perjudicis per a les empreses i els seus clients. Segons un informe d’Allianz sobre el Baròmetre de riscos del 2020, el cibernètic és, per primera vegada, el principal risc mundial per a les empreses, relegant a llocs inferiors riscos com la pèrdua de beneficis.

Alguns dels incidents més habituals en la ciberseguretat de les empreses solen ser: suplantacions d’identitat, fugues o robatoris d’informació, publicacions d’informacions negatives o usos de drets de propietat intel·lectual no consentits. Tots aquests perills poden generar no només una mala imatge de l’empresa, sinó també un incompliment de cara a la Llei Orgànica de Protecció de Dades.

A més, hi ha una sèrie de comportaments que provoquen riscos de ciberseguretat en les empreses, entre els quals destaquen:

  • Utilitzar dispositius externs (USB) a l’ordinador corporatiu. Per evitar problemes el millor és el que l’USB sigui analitzat o formatat, de manera que eviti que l’equip corporatiu s’infecti. Com a alternativa a l’USB es pot utilitzar l’emmagatzematge en el núvol.
  • Ús de xarxes socials en ordinadors de l’empresa. L’intercanvi de missatges en xarxes socials o la descàrrega d’arxius pot posar en perill els equips de l’empresa.
  • Ús d’una xarxa wifi pública per accedir al correu corporatiu, per exemple, pot posar en perill les dades sensibles de clients i de l’empresa.
  • No bloquejar l’equip o deixar la sessió oberta. Per evitar el perill que suposa que l’equip pugui ser consultat o utilitzat per qualsevol, és aconsellable configurar un bloqueig automàtic.
  • Descarregar arxius sense analitzar-los abans. La safata d’entrada del correu electrònic segueix sent un dels majors perills per a les empreses. És habitual que es descarreguin arxius que poden ser virus i que infectin l’equip alhora que exposin dades sensibles. Per evitar aquest problema és aconsellable analitzar amb un antivirus qualsevol arxiu que es rebi abans de descarregar-lo.
  • Gestió ineficient de contrasenyes i permisos. En aquest sentit, la responsabilitat és de l’empleat i de l’empresa. D’una banda, l’empresa hauria d’establir determinats nivells de seguretat, de manera que s’eviti que qualsevol pugui accedir a tota mena d’informació. D’altra banda, és aconsellable que els empleats siguin formats per evitar accions com no tancar la sessió dels seus correus, deixa oberta una pàgina en la qual s’ha entrat o marca l’opció “recordar contrasenya” al navegador, entre d’altres. Això suposa un risc, ja que altres persones podrien aprofitar el descuit per obtenir dades i utilitzar-los.

Per tant, evitar els riscos de ciberseguretat depèn de les empreses i dels treballadors i cal saber a què ens enfrontem amb petites negligències o errors que posen en perill dades importants de l’empresa.

Què és l’autenticació de doble factor?

Amb la crisi derivada de la COVID-19 les empreses han hagut d’accelerar la seva transformació digital i han sorgit una sèrie de riscos que podien afectar el seu negoci, per això s’han començat a utilitzar elements que aporten més seguretat i generen més confiança en empleats i clients. En aquest sentit, s’ha començat a generalitzar l’ús de l’autenticació de doble factor, però en què consisteix?, quan es fa servir?, com s’aplica?

L’autenticació de doble factor consisteix a comprovar mitjançant dos mecanismes diferents que la persona que intenta entrar en un web o realitzar una acció és qui diu ser. És a dir, afegeix un factor de seguretat addicional que complica un ciberatac. En el cas de Lleida.net es tracta d’un codi d’un sol ús que es genera de forma aleatòria a petició, s’envia a l’usuari per SMS i s’utilitza juntament amb la identificació i la contrasenya.

Com dèiem anteriorment, l’habitual és que per entrar en una web s’utilitzin:

  • Un usuari, que identifica la persona, és a dir, li diu al sistema qui és aquesta persona.
  • La contrasenya que autentica a l’usuari, és a dir, permet comprovar que aquesta persona és qui diu ser.

Però, quan s’utilitza l’autenticació de doble factor s’afegeix una altra forma addicional d’autenticació que pot consistir en un codi que rep l’usuari mitjançant un SMS o correu electrònic o una targeta de coordenades, per exemple. Moltes entitats financeres utilitzen l’autenticació de doble factor des de fa temps, però, a causa de la generalització de l’ús d’internet per a multitud de gestions, cada vegada més empreses de diversos sectors utilitzen aquest mètode.

Com funciona l’autenticació de doble factor?

L’ús de l’autenticació de doble factor és molt senzill:

  • L’usuari accedeix a la pantalla d’inici de sessió del servei a qui vulgui entrar.
  • Introdueix el seu usuari i contrasenya al web (són dades que ja coneix).
  • A continuació, se li demana que confirmi l’autenticació i el sistema li enviarà un SMS al seu telèfon mòbil amb un codi que haurà d’introduir a la pàgina d’accés. Addicionalment, es podria introduir un tercer factor de seguretat, per exemple, un dispositiu que identifiqui la persona per l’empremta dactilar, per l’iris o mitjançant reconeixement facial.
  • Finalment, l’usuari accedirà a la web de forma segura.

És un mètode totalment segur?

Evidentment l’autenticació de doble factor és més segur que les contrasenyes per si soles i un mètode més senzill d’utilitzar que la identificació biomètrica. Però, els ciberdelinqüents podrien realitzar un atac, tot i que ho tindrien molt més difícil perquè aquest tipus d’autenticació ofereix una protecció addicional tant als usuaris com a les empreses. Per tant, l’autenticació de doble factor dissuadeix els ciberdelinqüents i redueix els riscos.

Quins avantatges aporta el sistema d’autenticació de doble factor?

Amb el que hem vist anteriorment queden clares alguns avantatges de l’autenticació de doble factor entre els que podem destacar els següents:

  • El doble factor d’autenticació permet als empleats de les organitzacions treballar de forma remota amb seguretat, ja que es podrà accedir a les aplicacions corporatives des de qualsevol lloc i en qualsevol moment.
  • Redueix el frau i augmenta la confiança. Quan es produeix un cas de frau relacionat amb una empresa, els clients perden la confiança i podria acabar la relació entre ells i l’empresa.
  • És un sistema segur perquè el remitent de l’SMS no coneix el codi enviat ni el proveïdor on s’ha generat. A més, si un ciberdelinqüent tingués accés a usuari i contrasenya, no podria accedir a les dades del client, ja que no rebria el codi.
  • Es tracta d’un sistema extremadament senzill, ja que no cal instal·lar una aplicació al mòbil ni un programari a l’ordinador, simplement es rep un SMS i tots els mòbils poden rebre’ls.
  • El servei es pot integrar en les aplicacions de l’empresa mitjançant API sense cost addicional d’alta o llicència.
  • En el cas de sistema d’autenticació de doble factor de Lleida.net es poden configurar paràmetres com:
    • El període d’expiració.
    • El nombre màxim d’intents.
    • El format del codi.
    • L’emissor de l’SMS.
    • L’enviament mitjançant SMS certificat.
    • El nom i NIF de l’empresa.
    • L’idioma de l’evidència documental en el cas d’un SMS certificat.

En quins casos es fa servir l’autenticació de doble factor?

Com dèiem anteriorment, no sempre és necessari utilitzar l’autenticació de doble factor, sinó que és important utilitzar-la quan es tracti de:

  • Casos en què figurin les dades de pagament dels usuaris, per exemple, entitats bancàries, botigues online, etc.
  • Quan s’utilitzen les contrasenyes d’una pàgina per accedir a una altra, és el cas de l’ús de Facebook o Google per accedir a altres webs.
  • Un servei en el núvol on es guarda informació sensible de l’empresa. Per exemple, es pot donar el cas d’una empresa en la qual els empleats treballen en remot i necessiten accedir a servidor de l’empresa a distància. Si utilitzen l’autenticació de doble factor, l’accés serà més segur i la informació estarà més protegida.
  • Una xarxa social (Facebook, Twitter, Instagram o Linkedin, entre altres) o un servei de missatgeria que s’utilitza amb freqüència.

A conseqüència de tot l’anterior, els empresaris han de ser conscients que els riscos de ciberseguretat existeixen i poden suposar greus perjudicis per al negoci, per això, utilitzar capes addicionals de seguretat com la que proporciona l’autenticació de doble factor, és fonamental per a generar confiança en els clients i potencials clients i per protegir la reputació i la imatge de l’empresa.

Feu un comentari