Autenticación Multi-Factor PCI

Luego del North America Community Meeting en septiembre, en el cual el PCI SSC es miembro activo, y el anuncio de una nueva revisión de la NIST SP 800-63, la cual puede indicar el fin del uso de SMS como un factor de autenticación.
La autenticación multi factor, como bien sabemos, requiere de al menos 2 factores independientes para realizar la autenticación sin indicar la validez de los factores hasta que todos han sido presentados, es decir en el caso más común que vemos, cuando vamos a ingresar a un sistema ingresando usuario y contraseña, y luego de autenticado solicita la validación del segundo factor, estaríamos realizando una autenticación de dos pasos en lugar de 2 factores.
El error que tenemos está en la retroalimentación de validez de los factores, pues antes de solicitar el segundo factor, nos indica si el primer factor es válido o no.
Los factores que podemos utilizar son:
Algo que sabe: usuario y contraseña.
Algo que tiene: token, tarjeta inteligente.
Algo que es: biométrico.
También es necesario garantizar la independencia de los factores, es decir, un factor no provea acceso a otro. Por ejemplo si utilizó un dispositivo (Smartphone) como algo que poseo, y en ese mismo dispositivo estoy almacenando la contraseña, o donde se envía el link de recuperación de contraseña; aquella persona que tenga acceso al dispositivo podría tener acceso a los dos factores necesarios para la autenticación.
Otros escenarios pueden generar la pérdida de independencia cuando un factor da acceso a alguno de los demás factores.
Esta aclaración será tenida en cuenta, en las entidades que están actualmente en proceso de evaluación PCI-DSS, para el acceso remoto al CDE; y a partir de febrero de 2018 para la autenticación Multifactor de cuentas administrador.
Información adicional puede ser encontrada en:

  • PCI MULTI-FACTOR AUTENTICATION GUIDANCE V1 (Guía oficial liberada por el PCI SSC)
  • DRAFT NIST Special Publication 800-63-3 Digital Authentication Guideline
  • DRAFT NIST Special Publication 800-63B Digital Authentication Guideline: Authentication and Lifecycle Management
  • DRAFT NIST Special Publication 800-63C Digital Authentication Guideline: Federation and Assertions
  • ISO 19092:2008 – Financial services — Biometrics — Security framework
  • ISO/IEC 27040:2015 Information technology — Security techniques — Storage security