mfa

El pasado jueves 1 de diciembre, los QSA nos despertamos con un nuevo boletín oficial para asesores emitido por el PCI SSC.

En dicho boletín, aparece una consideración importante acerca de la autenticación multi-factor (MFA), necesaria para todos los accesos remotos al entorno de cumplimiento PCI DSS, según dicta el requerimiento 8.3 del propio estándar.

Dicha consideración indica lo siguiente:

Assessors should understand that multi-factor authentication requires two or more independent factors used in such a way that the presenter of the factors gains no knowledge of whether any factor is valid until all factors have been presented. For example, if the first factor is submitted and results in an indication to the user that it is valid before the second factor is requested, then what you actually have is two, single-factor authentications.

If the user can’t tell which factor failed to grant access, then you have MFA.

Esta aclaración cambia del todo el paradigma que muchas entidades venían aplicando hasta el momento, en donde, para realizar una conexión remota a un entorno PCI DSS, consideraban como válido implementar una autenticación multi-factor por pasos, siempre que en cada uno de estos pasos se validara un factor de autenticación distinto (por ejemplo, en un paso se validara “algo que el usuario sabe” y en el siguiente “algo que el usuario es”).

En el nuevo escenario, dicha autenticación por pasos no será válida según el estándar PCI DSS, y va a ser necesario que los múltiples factores de autenticación se validen en el mismo momento, de manera que, en el caso de una autenticación fallida, el usuario no sepa cuál de los factores de autenticación introducidos es el incorrecto.

Autenticación multi-factor por pasos

Autenticación multi-factor por pasos

mfa2

Autenticación multi-factor en un único paso

Con este nuevo planteamiento, muchas de las soluciones actuales de autenticación multi-factor se verán afectadas, ya que por ejemplo no serán válidas en entornos PCI DSS la mayoría de autenticaciones remotas basadas en certificados personales, dónde se realiza una autenticación por pasos (el sistema valida el certificado personal antes de pedir la contraseña al usuario). Otros métodos comerciales que se basan en el envío de tokens a dispositivos móviles o correo electrónico tampoco serán válidos, ya que en muchos de éstos métodos se requiere un primer paso, donde el usuario se autentica con una contraseña (primer factor de autenticación), y si ésta es correcta, el sistema envía al dispositivo escogido por el usuario un token, que éste debe introducir en un segundo paso de autenticación.

A la espera de que el PCI SSC publique una FAQ oficial dictando las pautas a seguir en dichos casos, los asesores QSA debemos empezar a informar a la industria de los cambios que se avecinan en estos escenarios.

PD: Especial agradecimiento a Guzmán González Peón, quien me dio la idea de escribir este artículo.

Bibliografía

https://www.pcihispano.com/autenticacion-multi-factor-mfa-la-nueva-apuesta-seguridad-pci-dss-v3-2/