Autenticación: Autorización: Explorando diferencias y similitudes
What’s inside?
- 1. Cómo funciona la autenticación
- 2. Cómo Funciona la Autorización
- 3. Diferencias clave entre autenticación y autorización
- 4. Similitudes clave entre autenticación y autorización
- 5. ¿Cuáles son los principales desafíos y riesgos de seguridad con la autenticación?
- 6. ¿Cuáles son los principales desafíos y riesgos de seguridad con la autorización?
- 7. PREGUNTAS FRECUENTES
- 8. Maneje tanto la autenticación como la autorización con la solución SASE de Cato
La autenticación y la autorización representan dos de las tres «A» en gestión de identidad y acceso (IAM). Junto con la contabilidad, son cruciales para la estrategia de ciberseguridad de una organización. Sin la capacidad de verificar la identidad y los privilegios de un usuario, es imposible diferenciar entre el acceso legítimo a los sistemas corporativos y los posibles ataques.
La autenticación verifica la identidad de un usuario, confirmando así que realmente es quien dice ser. Una vez que se verifica al usuario, la autorización determina y concede el nivel de acceso que el usuario tiene a recursos específicos. Mientras que la autenticación responde a la pregunta: «¿Quién eres?», la autorización responde: «¿Qué se te permite hacer?»
Cómo funciona la autenticación
La autenticación implica demostrar que un usuario es quien dice ser. Esto se logra haciendo que el usuario presente uno o más factores de autenticación. En la mayoría de los casos, estos se extraen de los siguientes tres tipos de factores:
- Algo que sabes: Los factores basados en el conocimiento incluyen contraseñas, PIN, preguntas de seguridad y claves API.
- Algo que tienes: Los factores basados en la posesión incluyen contraseñas de un solo uso (OTP) generadas por o enviadas a un dispositivo específico (smartphone, llave de hardware, etc.) o certificados digitales almacenados en un dispositivo o tarjeta inteligente.
- Algo que eres: Los sistemas de autenticación biométrica pueden identificar a los usuarios en función de su rostro, huella dactilar, voz, marcha u otras características físicas o conductuales únicas.
Un sistema de autenticación almacenará una copia del factor de autenticación o algún medio para verificar su autenticidad. Cuando el usuario presenta el(los) factor(es), el sistema verifica si coinciden. Si es así, la identidad del usuario está verificada.
Diferentes tipos de factores de autenticación ofrecen niveles de seguridad variados. Por ejemplo, los factores basados en el conocimiento son generalmente los más débiles debido a la amenaza de contraseñas débiles y ataques de phishing. Los factores basados en la posesión son vulnerables a la pérdida o el robo.
Dos medios para abordar estas debilidades incluyen:
- Autenticación multifactor La MFA utiliza dos o más tipos de factores de autenticación, como una contraseña y un OTP generado por una aplicación de autenticación. Esta combinación de factores dificulta que un atacante acceda a todos los factores a la vez.
- Autenticación Sin Contraseña: La autenticación sin contraseña utiliza solo factores de «algo que tienes» o «algo que eres» para la autenticación, eliminando completamente los factores débiles basados en el conocimiento. La MFA sin contraseña utilizará tanto un factor de autenticación basado en la posesión como un factor biométrico.
Cómo Funciona la Autorización
La autorización asume que la identidad del usuario ya ha sido verificada a través de la autenticación. Su función es determinar si el usuario autenticado tiene el derecho de realizar una acción solicitada.
Esta decisión se basa en los derechos y privilegios asignados al usuario y, potencialmente, en el contexto de la solicitud. Por ejemplo, se puede permitir a un usuario ver documentos altamente sensibles debido a su rol en la organización. Sin embargo, este privilegio puede aplicarse solo cuando se utiliza un dispositivo de la empresa con una conexión segura a la red corporativa (ya sea directamente o a través de una VPN).
Los controles de acceso utilizados para tomar decisiones de autorización pueden ser gestionados a través de diferentes modelos, como:
- Control de Acceso Discrecional (DAC): En DAC, el propietario de un recurso define los controles de acceso para él. Por ejemplo, un Google Doc implementa DAC, donde el creador decide quién puede leer o editarlo.
- Control de Acceso Obligatorio (MAC): Con MAC, el acceso se gestiona y define de manera centralizada utilizando niveles de clasificación y autorizaciones. El sistema de Secreto/Confidencial/Clasificado/No Clasificado es un ejemplo de MAC.
- Control de Acceso Basado en Roles (RBAC): RBAC crea varios roles, asigna privilegios a estos roles y asigna a cada usuario un rol. Por ejemplo, a un desarrollador se le puede asignar un rol de Desarrollador, que proporciona acceso a las herramientas y sistemas que necesita para realizar su trabajo.
- Control de Acceso Basado en Atributos (ABAC): ABAC asigna atributos a los usuarios y define controles de acceso basados en combinaciones de atributos. Por ejemplo, un gerente de TI tendría los atributos de TI y gerente y podría acceder a recursos que requieren uno o ambos de estos, como entornos de desarrollo (TI) y registros de empleados (gerente).
Diferencias clave entre autenticación y autorización
La autenticación y la autorización desempeñan roles muy diferentes en el proceso de control de acceso. El objetivo de la autenticación es determinar si alguien es quien dice ser. La autorización asume que la identidad alegada del usuario es legítima y trabaja para determinar si ese usuario debería tener acceso a un recurso particular.
Similitudes clave entre autenticación y autorización
La autenticación y la autorización son similares en que su objetivo final es verificar la legitimidad de una solicitud de acceso. Primero, la autenticación valida la identidad del usuario, y luego la autorización verifica que el usuario tenga el acceso y los privilegios requeridos para realizar la solicitud.
¿Cuáles son los principales desafíos y riesgos de seguridad con la autenticación?
La autenticación se basa en la suposición de que solo el propietario de una cuenta podría presentar factores de autenticación para ella. Algunas amenazas a la autenticación exitosa incluyen:
- Contraseñas Débiles: Las contraseñas débiles y reutilizadas son una amenaza común para la seguridad de la autenticación. La autenticación falla si un atacante puede adivinar la contraseña de un usuario o usar una contraseña comprometida de una cuenta para acceder a otra.
- Ataques de Phishing: Los ciberdelincuentes suelen utilizar el phishing para engañar a los usuarios y hacer que entreguen contraseñas u OTPs. Un usuario dirigido a una página de phishing que se asemeja a un sitio legítimo puede ingresar su contraseña u OTP, lo que permite al atacante autenticarse en el sitio real.
- Malware: Muchos tipos de malware intentan robar las credenciales de inicio de sesión de un usuario. Por ejemplo, los infostealers pueden volcar contraseñas desde donde están almacenadas en caché por un sistema.
- Cookies Robadas: Las cookies almacenan información sobre la sesión de un usuario e implementan la función «Recordarme», permitiendo a los usuarios omitir la autenticación en su próxima visita. Si estos archivos son robados del dispositivo de un usuario, el atacante puede acceder a su cuenta mientras elude la autenticación.
- Dispositivos Perdidos/R robados: Los teléfonos inteligentes se utilizan comúnmente para recibir/generar OTPs o almacenar certificados digitales para la autenticación. Si estos dispositivos son robados, el atacante puede ser capaz de acceder a este factor de autenticación.
- Autenticación: Un sistema de autenticación puede implementar un algoritmo débil o no cumplir con las mejores prácticas. Por ejemplo, una contraseña predeterminada puede estar integrada en un sistema, o puede haber una forma de eludir la autenticación por motivos de mantenimiento.
- Almacenamiento Inseguro de Credenciales: Los sistemas de autenticación comúnmente necesitan almacenar datos sensibles para verificar las solicitudes de autenticación, lo que puede ser problemático si esos datos se almacenan de manera inadecuada. Por ejemplo, las violaciones de datos históricas han encontrado contraseñas almacenadas en texto plano, en archivos de registro, hasheadas con algoritmos débiles y hasheadas pero sin sal. Todo esto facilita que un atacante robe y crackee estas contraseñas para obtener acceso a la cuenta de un usuario.
¿Cuáles son los principales desafíos y riesgos de seguridad con la autorización?
La autorización exitosa permite a los usuarios acceder únicamente a los recursos que necesitan legítimamente. Algunas formas en que esto puede salir mal incluyen:
- Permisos excesivos: A los usuarios comúnmente se les asignan accesos y privilegios que exceden lo que necesitan para su trabajo. Por ejemplo, la mayoría de los usuarios no necesitan acceso a nivel de Administrador a su propia computadora, y otorgarlo introduce un riesgo adicional para el negocio.
- Autorización insegura: Los esquemas de autorización pueden ser inseguros o vulnerables a eludir. Por ejemplo, un atacante puede ser capaz de modificar las listas de control de acceso (ACLs) que gestionan el acceso a un recurso aprovechando una vulnerabilidad del sistema.
PREGUNTAS FRECUENTES
¿Es la autenticación SSO o autorización?
El inicio de sesión único (SSO) es un mecanismo de autenticación que permite a un usuario autenticarse una vez en el sistema de autenticación y obtener acceso a múltiples recursos. Este sistema proporciona prueba de la identidad del usuario a los otros sistemas, permitiéndoles realizar la autorización sin necesidad de que el usuario se autentique múltiples veces.
¿Es OAuth autenticación o autorización?
OAuth es un esquema de autorización que permite el acceso de terceros a recursos sin compartir las credenciales del usuario. Las aplicaciones reciben permisos y se gestionan utilizando tokens de acceso.
¿Se puede permitir la autorización sin autenticación?
La autorización siempre debe ir acompañada de la autenticación para validar la identidad del usuario. Las cuentas de invitado, que otorgan a los usuarios ciertos privilegios sin verificar su identidad, son arriesgadas y deben proporcionar acceso mínimo.
¿Qué viene primero, la autenticación o la autorización?
La autenticación viene antes que la autorización. La autorización asume que el usuario ha sido autenticado y trabaja para determinar el acceso asignado a ese usuario.
Maneje tanto la autenticación como la autorización con la solución SASE de Cato
La autenticación y la autorización son vitales para gestionar el acceso y el control sobre los recursos de una organización. La autenticación fuerte verifica que alguien es quien dice ser, y la autorización comprueba que un usuario autenticado tiene el derecho de realizar una acción particular.
El Secure Access Service Edge (SASE) incorpora acceso a la red de confianza cero (ZTNA) como una de sus capacidades de seguridad convergentes. ZTNA permite a las organizaciones implementar la gestión de acceso de menor privilegio — incluyendo autenticación y autorización fuertes — a través de la WAN corporativa.
Con la nube SASE de Cato, las empresas pueden aprovechar la autenticación y autorización fuertes, así como diversas capacidades de seguridad clave y una infraestructura privada de clase mundial. Para aprender más sobre cómo la nube SASE de Cato puede mejorar la seguridad y el rendimiento de su WAN corporativa, regístrese para una demostración.
