Autenticación multifactor en ASP.NET Core
En la unidad anterior, ha personalizado y ampliado Identity de ASP.NET Core. En esta unidad, obtendrá información acerca de la autenticación multifactor y cómo se implementa en Identidad.
Autenticación multifactor
La autenticación multifactor (MFA) es un proceso en el que se solicita a un usuario formas adicionales de identificación al iniciar sesión. Esta solicitud podría ser de un código de una aplicación, un valor de token de hardware o un examen biométrico. Cuando se exige un segundo tipo de autenticación, se mejora la seguridad.
La prueba necesaria para la autenticación se clasifica en tres tipos:
- Algo que ya conoce, como una contraseña o una pregunta de seguridad.
- Algo que ya tiene, como un token de hardware o una aplicación en el teléfono.
- Algo que forma parte de usted, como una huella digital o el escaneo facial.
Gran parte de la eficacia de MFA proviene del uso de diferentes tipos de autenticación. Es posible que un adversario pueda acceder a varias cosas que sabe, como su contraseña y su alias de infancia. Sin embargo, es más difícil poner en peligro algo que sabe y algo que tiene o que es.
Contraseña de un solo uso basada en tiempo
La contraseña de un solo uso basada en tiempo (TOTP) es un algoritmo conocido que genera códigos numéricos únicos que expiran después de 30 segundos. El algoritmo toma dos entradas, la hora actual y una clave única.
El usuario escribe la clave en una aplicación compatible con TOTP al registrarse. Estas aplicaciones incluyen las siguientes:
- Microsoft Authenticator.
- Google Authenticator.
- ¡Muchos otros!
Escribir la clave en la aplicación se puede simplificar con un código QR. La aplicación usa la clave y la hora actual para generar y mostrar códigos únicos cada 30 segundos. Si el código que genera la aplicación coincide con lo que espera el servidor, la autenticación se realiza correctamente. El algoritmo está diseñado para perdonar pequeñas diferencias entre los relojes del dispositivo y el servidor.
Como forma de MFA, normalmente se solicita al usuario un código TOTP en combinación con una contraseña. La contraseña es algo que sabe, y el código es una prueba de algo que tiene. Esta es la única manera de generar el código con la clave almacenada en la aplicación.
De manera predeterminada, las plantillas de proyecto de ASP.NET Core que usan Identity incluyen compatibilidad con la autenticación multifactor para aplicaciones de autenticación TOTP. El formulario Configurar la aplicación de autenticación de la plantilla de Razor Pages proporciona una clave de registro de 32 caracteres para inicializar el valor del token. Pero la plantilla no genera un código QR de forma predeterminada.
Nota
Los códigos enviados por mensajes de texto SMS son una alternativa común a TOTP. Después de todo, el teléfono en el que recibe el mensaje SMS es algo que tiene. Pero los SMS como MFA son relativamente fáciles de capturar para un adversario. Por tanto, los códigos SMS ya no se consideran una forma segura de MFA.
Resumen
En esta unidad, ha aprendido qué es la autenticación multifactor y cómo se implementa en ASP.NET Identidad básica de manera predeterminada. En la unidad siguiente, puede personalizar el formulario Configurar la aplicación de autenticación existente para proporcionar un código QR que contiene la clave de registro.