¿Qué es un token de seguridad?
Un token de seguridad es un dispositivo físico o digital que proporciona autenticación de dos factores (2FA) para que un usuario demuestre su identidad en un proceso de inicio de sesión. Se utiliza típicamente como una forma de identificación para el acceso físico o como un método de acceso al sistema informático. El token puede ser un elemento o una tarjeta que muestra o contiene información de seguridad sobre un usuario y puede ser verificada por el sistema.
Los tokens de seguridad se pueden usar en lugar de, o además de, las contraseñas tradicionales. Se utilizan con mayor frecuencia para acceder a redes informáticas, pero también pueden garantizar el acceso físico a edificios y actuar como firmas electrónicas de documentos.
¿Cómo funcionan los tokens de seguridad?
Un token de seguridad proporciona autenticación para acceder a un sistema a través de cualquier dispositivo que genere una contraseña. Esto puede incluir una tarjeta inteligente, una llave de bus Serie universal, un dispositivo móvil o una tarjeta de identificación por radiofrecuencia. El dispositivo genera una contraseña nueva cada vez que se usa, de modo que se puede usar un token de seguridad para iniciar sesión en un equipo o una red privada virtual escribiendo la contraseña generada por el token en el mensaje.
La tecnología de token de seguridad se basa en el uso de un dispositivo que genera un número aleatorio, lo cifra y lo envía a un servidor con información de autenticación de usuario. A continuación, el servidor devuelve una respuesta cifrada que solo puede descifrar el dispositivo. El dispositivo se reutiliza para cada autenticación, por lo que el servidor no tiene que almacenar información de nombre de usuario o contraseña, con la intención de hacer que el sistema sea menos vulnerable a la piratería.
Tipos de tokens de seguridad
Se utilizan varios tipos de tokens de seguridad para proteger una variedad de activos y aplicaciones. Estos incluyen los siguientes:
- Contraseñas de un solo uso (OTP). Una forma de token de seguridad digital, las OTP son válidas para una sola sesión de inicio de sesión, lo que significa que se usan una vez y nunca más. Después del uso inicial, se notifica al servidor de autenticación que la oficina del Fiscal no debe reutilizarse. Las OTP suelen generarse utilizando un algoritmo criptográfico a partir de una clave secreta compartida compuesta por dos elementos de datos únicos y aleatorios. Un elemento es un identificador de sesión aleatorio y el otro es una clave secreta.
- Tokens desconectados. Esta es una forma de token de seguridad digital que no se conecta física ni lógicamente a una computadora. El dispositivo puede generar una OTP u otras credenciales. Una aplicación de escritorio que envía un mensaje de texto a un teléfono móvil, que el usuario debe introducir en el inicio de sesión, está utilizando un token desconectado.
- Tokens conectados. Un token conectado es un objeto físico que se conecta directamente a un ordenador o sensor. El dispositivo lee el token conectado y concede o deniega el acceso. YubiKey es un ejemplo de token conectado.
- Tokens sin contacto. Los tokens sin contacto forman una conexión lógica con un ordenador sin necesidad de una conexión física. Estos tokens se conectan al sistema de forma inalámbrica y otorgan o niegan el acceso a través de esa conexión. Por ejemplo, Bluetooth se usa a menudo como método para establecer una conexión con un token sin contacto.Tokens de software de inicio de sesión único (SSO)
- . Los tokens de software SSO almacenan información digital, como un nombre de usuario o una contraseña. Permiten a las personas que utilizan múltiples sistemas informáticos y múltiples servicios de red iniciar sesión en cada sistema sin tener que recordar varios nombres de usuario y contraseñas.
- Tokens programables. Un token de seguridad programable genera repetidamente un código único válido durante un período de tiempo especificado, a menudo 30 segundos, para proporcionar acceso al usuario. Por ejemplo, el Servicio de tokens de seguridad de Amazon Web Services es una aplicación que genera códigos 2FA necesarios para que los administradores de tecnología de la información accedan a algunos recursos de la nube de AWS.
Ventajas de los tokens de seguridad
Si bien es cierto que las contraseñas y los ID de usuario siguen siendo la forma de autenticación más utilizada, los tokens de seguridad son una opción más segura para proteger redes y sistemas digitales. El problema con las contraseñas y los ID de usuario es que no siempre son seguros. Los agentes de amenazas continúan perfeccionando los métodos y herramientas para descifrar contraseñas, lo que hace que las contraseñas sean vulnerables. Los datos de la contraseña también pueden ser accedidos o robados en una violación de datos. Además, las contraseñas a menudo son fáciles de adivinar, generalmente porque se basan en información personal fácilmente detectable.
Los tokens de seguridad, por otro lado, utilizan un identificador físico o digital exclusivo del usuario. La mayoría de los formularios son relativamente fáciles de usar y convenientes.
Vulnerabilidades de tokens de seguridad
Si bien los tokens de seguridad ofrecen una variedad de ventajas para los usuarios y las organizaciones, también pueden presentar desventajas. La principal desventaja de los tokens de seguridad física es que están sujetos a pérdida y robo. Por ejemplo, un token de seguridad podría perderse mientras viaja o ser robado por una persona no autorizada. Si un token de seguridad se pierde o es robado, debe desactivarse y reemplazarse. Mientras tanto, un usuario no autorizado en posesión del token puede tener acceso a información y sistemas privilegiados.