Debido al gran revuelo causado después de la publicación de las nuevas directrices del PCI SSC respecto al uso de la Autenticación Multi-Factor y la inmensa cantidad de dudas como resultado de este cambio,  la respuesta a estas preguntas ha venido con la publicación de la versión 1.0 del nuevo suplemento informativo de Autenticación Multi-Factor (“Information Supplement: Multi-Factor Authentication“), realizada en los primeros días de febrero de 2017.

Recordemos que la base de la autenticación multi-factor surge del uso de dos o más factores durante el proceso de autenticación. Estos factores son:

  • SYK (Something You Know): Algo que el usuario sabe (como una contraseña)
  • SYH (Something You Have): Algo que el usuario tiene (como una smart card)
  • SYA (Something You Are): Algo que el usuario es o hace (como una huella digital)

Como ya se había comentado previamente en PCI Hispano en los artículos “Autenticación multi-factor (MFA): la nueva apuesta de seguridad de PCI DSS v3.2” de julio de 2016 y “Autenticación Multi-Factor (MFA) de varios pasos, no permitida por el PCI SSC” de diciembre de 2016, una de las puntas de lanza del PCI SSC para minimizar el riesgo en los accesos remotos es el uso de Autenticación Multi-Factor (MFA). Sin embargo, no todas las soluciones de MFA son validas bajo el criterio de PCI DSS, ya que la implementación de este tipo de soluciones debe seguir una serie de indicaciones específicas para garantizar su alineamiento con este estándar (en particular, del requerimiento 8.3).

Los criterios para que una solución de autenticación Multi-Factor cumpla con PCI DSS son:

  1.  Debe existir una independencia de los mecanismos (factores) de autenticación: Este criterio debe garantizar que el acceso a un factor de autenticación no debe permitir el acceso al otro factor de autenticación. Por ejemplo: Si un usuario se autentica empleando nombre de usuario y contraseña (“algo que sé” – SYK) y obtiene un código de validación de un único uso a través de un mensaje de correo electrónico al que se accede con dichas credenciales, estos factores no son independientes. Lo mismo ocurre si la autenticación se realiza mediante un certificado digital almacenado en un ordenador (“algo que tengo” – SYH) que es protegido por las mismas credenciales empleadas para acceder a dicho ordenador (“algo que sé” – SYK).
  2. Si se emplea autenticación fuera de banda (“Out of band”), los factores de autenticación no deben converger en un único dispositivo. La autenticación fuera de banda implica que los factores empleados para la autenticación serán provistos por diferentes redes o canales de comunicación, de tal forma que un potencial atacante debería tener que comprometer ambos canales para hacerse con las credenciales de autenticación. Por ejemplo: Si se emplea una contraseña de único uso (“one-time password” – OTP) enviada a teléfono móvil y desde el mismo móvil se envía este OTP para autenticación en conjunto con otros factores (como una contraseña), directamente el uso del OTP es anulado en términos de seguridad, ya que ambos factores convergen en un único dispositivo (teléfono móvil).
  3. Si se usan tokens criptográficos, se debe garantizar su almacenamiento seguro: Un token criptográfico es un factor adicional de autenticación que puede ser almacenado en un dispositivo o en un medio de almacenamiento removible. Dentro de las categorías de tokens criptográficos se encuentran:
    • Tokens criptográficos en hardware removible, en donde la clave privada se almacena en un módulo de hardware criptográfico que está físicamente separado del dispositivo de computación móvil, como las tarjetas de memoria no-volatil, las tarjetas universales de circuitos integrados (“Universal Integrated Circuit Card” – UICC) o los tokens USB.
    • Tokens criptográficos embebidos, en donde las credenciales de autenticación y las claves privadas pueden ser usadas en módulos criptográficos (de hardware o software) embebidos en dispositivos móviles.
  4. Se recomienda no emplear canales de SMS para procesos de autenticación. El NIST (National Institute of Standards and Technology) publicó la versión preliminar del estándar SP 800-63-3 “Digital Authentication Guideline: Public Preview“. Esta versión está aún incompleta, pero dentro de sus actualizaciones incluye una recomendación para dejar de usar mensajes de SMS como factor de autenticación debido a vulnerabilidades relacionadas con VoIP y problemas para validar que el usuario efectivamente está en posesión del teléfono.
  5. El uso de autenticación de dos (o múltiples) pasos no está permitida si los factores de autenticación no son independientes entre sí.  El concepto de autenticación de dos (o múltiples) pasos permite la presentación de una segunda pantalla de autenticación únicamente si la primera ha sido satisfactoria. Este tipo de autenticación no está permitida por el PCI SSC, ya que no se debe tener conocimiento previo de éxito o error de la validez de cualquiera de los factores de autenticación hasta que todos los factores sean presentados. Un ejemplo de una autenticación de dos pasos no válida es aquella en la que un usuario se autentica con nombre de usuario y contraseña (paso 1) y si dicha autenticación es satisfactoria, se presenta una segunda pantalla (paso 2) en la cual se presentará otro factor de autenticación (como un OTP o biometría).

Autenticación multi-factor por pasos

Autenticación multi-factor en un único paso

Es importante anotar que por ahora no se requiere que las organizaciones que cuentan con soluciones de MFA validen la alineación de dichas soluciones con lo descrito en el suplemento informativo. La obligatoriedad de esta alineación será incorporada en futuras versiones del estándar PCI DSS. Sin embargo, se recomienda de forma encarecida que de forma inmediata todas las organizaciones afectadas empiecen a implementar estos criterios en soluciones nuevas e implementaciones actuales de MFA en entornos PCI DSS.

Como siempre, si tienes dudas no olvides que puedes dejar tu comentario o usar nuestro foro.