La autenticación multifactor (MFA) se ha convertido rápidamente en el estándar para asegurar cuentas comerciales. Una vez que una medida de seguridad de nicho, la adopción está en aumento en todas las industrias. Pero si bien es innegablemente efectivo para mantener a los malos actores fuera, la implementación de soluciones de MFA puede ser un desastre enredado de diseños e ideas competidores. Para las empresas y los empleados, la realidad es que MFA a veces se siente demasiado bueno.
Aquí hay algunas razones por las cuales MFA no se implementa más universalmente.
1. Las empresas ven MFA como un centro de costos
MFA para empresas no es gratuita, y los costos de MFA pueden sumar con el tiempo. Las soluciones de MFA de terceros vienen con costos de suscripción, generalmente cobradas por usuario. Incluso las opciones incorporadas como las funciones MFA de Microsoft 365 pueden costar más dependiendo de su licencia Microsoft Entra.
Además, existe el costo de capacitar a los empleados para usar MFA y el tiempo que lleva inscribirlos. Si MFA aumenta las llamadas de la mesa de ayuda, los costos de soporte también aumentan. Si bien estos gastos son mucho menores que el costo de una violación de seguridad ($ 4.88 millones el año pasado), las empresas no siempre ven esa conexión claramente.
2. La experiencia del usuario es un punto de dolor persistente
No importa cómo lo corte, MFA también trae pasos adicionales. Después de ingresar una contraseña, los usuarios deben completar otro paso de verificación. Esto inevitablemente agrega fricción. Los administradores deben considerar la forma de MFA utilizada, con qué frecuencia se requiere y equilibrar ambos con riesgo.
La combinación de MFA con SSO puede aligerar la carga de seguridad al permitir que los usuarios se autenticen una vez para acceder a múltiples aplicaciones, en lugar de iniciar sesión por separado a cada una. Esto reduce la fricción para sus usuarios, por lo que MFA no se interpone en el trabajo. Más allá de SSO, mantenga contentos a los usuarios finales al optar por una plataforma MFA con configuraciones de políticas flexibles. Por ejemplo, el acceso interno de la estación de trabajo probablemente no necesite MFA tan a menudo como el acceso remoto a través de VPN, RDP u otras conexiones externas.
3. La implementación de MFA trae dificultades ocultas
Implementar los usuarios de MFA y capacitación no es una tarea pequeña. El primer paso es crear y administrar un sistema que mantenga las cosas simples, desde la inscripción del usuario hasta el monitoreo de la actividad de MFA.
Elija un MFA que juegue bien con la configuración de identidad actual de su organización. Asegurar el acceso a una combinación de Active Directory (AD) e infraestructura en la nube puede significar administrar múltiples identidades por usuario, crear gastos generales de gestión y crear una brecha de seguridad de identidad híbrida.
La escalabilidad también es un factor: a medida que crece la base de usuarios, ¿puede el sistema mantenerse al día? Si confía en un servicio de MFA de terceros, ¿qué sucede si se cae?
Luego está el problema de la conectividad. Muchas soluciones de MFA suponen que los usuarios siempre están en línea. Pero, ¿qué pasa si están fuera de línea o en una red aislada con conectividad limitada? Considere cómo y dónde sus usuarios inician y evalúan si su MFA debe admitir indicaciones locales para autenticar a los usuarios, incluso cuando su dispositivo no está conectado a Internet.
4. MFA solo no es suficiente
Claro, MFA aumenta la seguridad, pero ningún método MFA es infalible. Cada enfoque tiene sus propias debilidades que los atacantes pueden explotar. Por ejemplo, el MFA basado en SMS (ya no recomendado) es vulnerable a los ataques de intercambio SIM, mientras que las notificaciones push pueden ser víctimas de la fatiga de MFA, donde los usuarios son bombardeados con solicitudes de inicio de sesión repetidas por atacantes que ya han comprometido sus contraseñas.
Los atacantes más avanzados tienen herramientas para robar cookies de sesiones, lo que les permite pasar por alto el MFA por completo en algunas situaciones. SSO, aunque conveniente, puede exacerbar el problema: si un atacante rompe una barrera MFA, puede obtener acceso a múltiples aplicaciones.
MFA no tiene que ser tan difícil
La conclusión es que MFA debe ser parte de una estrategia más amplia que incluye el monitoreo y la tala para dar visibilidad de los administradores en las actividades de autenticación. Si bien MFA es una capa crucial para defenderse contra el acceso no autorizado, la implementación traerá desafíos. Planificar para ellos. Para una implementación exitosa de MFA, comprender los costos, considerar la experiencia del usuario y adoptar un enfoque proactivo para mitigar sus limitaciones.