¿Cómo funciona la autenticación basada en tokens?

La transformación digital genera preocupaciones de seguridad para que los usuarios protejan su identidad de ojos falsos. Según US Norton, en promedio, 8 lakh de cuentas son pirateadas cada año. Existe una demanda de sistemas de alta seguridad y regulaciones de ciberseguridad para la autenticación.  

Los métodos tradicionales se basan en la autenticación de un solo nivel con nombre de usuario y contraseña para otorgar acceso a los recursos web. Los usuarios tienden a mantener contraseñas fáciles o reutilizar la misma contraseña en múltiples plataformas para su comodidad. El hecho es que siempre hay un ojo equivocado en sus actividades web para aprovecharse injustamente en el futuro. 

Debido a la creciente carga de seguridad, la autenticación de dos factores (2FA) entró en escena e introdujo la autenticación basada en token. Este proceso reduce la dependencia de los sistemas de contraseñas y agrega una segunda capa a la seguridad. Pasemos directamente al mecanismo.

Pero antes que nada, conozcamos al principal impulsor del proceso: ¡un TOKEN!

¿Qué es un token de autenticación?

Un Token es un código generado por computadora que actúa como una firma codificada digitalmente de un usuario. Se utilizan para autenticar la identidad de un usuario al acceder a cualquier sitio web o aplicación de la red.

Un token se clasifica en dos tipos: un token físico y un token web. Entendámoslos y cómo juegan un papel importante en la seguridad.

• Token físico : un token físico utiliza un dispositivo tangible para almacenar la información de un usuario. Aquí, la clave secreta es un dispositivo físico que se puede usar para probar la identidad del usuario. Dos elementos de las fichas físicas son las fichas duras y las fichas blandas. Los tokens duros usan tarjetas inteligentes y USB para otorgar acceso a la red restringida como la que se usa en las oficinas corporativas para acceder a los empleados. Los tokens blandos usan el móvil o la computadora para enviar el código encriptado (como OTP) a través de una aplicación autorizada o SMS.
• Token web : La autenticación mediante token web es un proceso totalmente digital. Aquí, el servidor y la interfaz del cliente interactúan a petición del usuario. El cliente envía las credenciales de usuario al servidor y el servidor las verifica, genera la firma digital y la devuelve al cliente. Los tokens web se conocen popularmente como JASON Web Token (JWT), un estándar para crear tokens firmados digitalmente.

Un token es una palabra popular utilizada en el clima digital actual. Se basa en criptografía descentralizada. Algunos otros términos asociados con tokens son tokens Defi, tokens de gobierno, tokens no fungibles y tokens de seguridad. Los tokens se basan únicamente en el cifrado, que es difícil de piratear.  

¿Qué es una autenticación basada en token?

La autenticación basada en token es una estrategia de autenticación de dos pasos para mejorar el mecanismo de seguridad para que los usuarios accedan a una red. Una vez que los usuarios registran sus credenciales, reciben un token cifrado único que es válido durante un tiempo de sesión específico. Durante esta sesión, los usuarios pueden acceder directamente al sitio web o la aplicación sin requisitos de inicio de sesión. Mejora la experiencia del usuario al ahorrar tiempo y seguridad al agregar una capa al sistema de contraseñas.

Un token no tiene estado, ya que no guarda información sobre el usuario en la base de datos. Este sistema se basa en la criptografía, donde una vez que se completa la sesión, el token se destruye. Por lo tanto, obtiene la ventaja contra los piratas informáticos para acceder a los recursos mediante contraseñas.  

El ejemplo más amigable del token es OTP (contraseña de un solo uso) que se usa para verificar la identidad del usuario correcto para ingresar a la red y es válido por 30-60 segundos. Durante el tiempo de la sesión, el token se almacena en la base de datos de la organización y desaparece cuando expira la sesión.  

Comprendamos algunos impulsores importantes de la autenticación basada en token:

• Usuario : Una persona que pretende acceder a la red con su nombre de usuario y contraseña.
• Cliente-servidor : un cliente es una interfaz de inicio de sesión frontal donde el usuario interactúa primero para inscribirse en el recurso restringido.
• Servidor de autorización : una unidad de back-end que se encarga de la tarea de verificar las credenciales, generar tokens y enviarlos al usuario.
• Servidor de recursos : Es el punto de entrada donde el usuario ingresa el token de acceso. Si se verifica, la red saluda a los usuarios con una nota de bienvenida.

¿Cómo funciona la autenticación basada en tokens?

La autenticación basada en token se ha convertido en un mecanismo de seguridad ampliamente utilizado por los proveedores de servicios de Internet para ofrecer una experiencia rápida a los usuarios sin comprometer la seguridad de sus datos. Entendamos cómo funciona este mecanismo con 4 pasos que son fáciles de entender.

1. Solicitud: El usuario pretende ingresar al servicio con credenciales de inicio de sesión en la aplicación o en la interfaz del sitio web. Las credenciales involucran un nombre de usuario, contraseña, tarjeta inteligente o datos biométricos.

2. Verificación: la información de inicio de sesión del cliente-servidor se envía al servidor de autenticación para la verificación de usuarios válidos que intentan ingresar al recurso restringido. Si las credenciales pasan la verificación, el servidor genera una clave digital secreta para el usuario a través de HTTP en forma de código. El token se envía en un formato estándar abierto JWT que incluye:

• Encabezado : Especifica el tipo de token y el algoritmo de firma.
• Payload : Contiene información sobre el usuario y otros datos
• Firma : Verifica la autenticidad del usuario y de los mensajes transmitidos.

3. Validación del token: el usuario recibe el código del token y lo ingresa en el servidor de recursos para otorgar acceso a la red. El token de acceso tiene una validez de 30 a 60 segundos y, si el usuario no lo aplica, puede solicitar el token de actualización del servidor de autenticación. Hay un límite en la cantidad de intentos que un usuario puede hacer para obtener acceso. Esto evita los ataques de fuerza bruta que se basan en métodos de prueba y error.  

4. Almacenamiento: una vez que el servidor de recursos validó el token y otorga acceso al usuario, almacena el token en una base de datos durante el tiempo de sesión que defina. El tiempo de sesión es diferente para cada sitio web o aplicación. Por ejemplo, las aplicaciones bancarias tienen el tiempo de sesión más corto de solo unos minutos.

Entonces, estos son los pasos que explican claramente cómo funciona la autenticación basada en tokens y cuáles son los principales impulsores de todo el proceso de seguridad. 

Nota: Hoy en día, con las crecientes innovaciones, las normas de seguridad serán estrictas para garantizar que solo las personas adecuadas tengan acceso a sus recursos. Por lo tanto, los tokens están ocupando más espacio en el proceso de seguridad debido a su capacidad para abordar la información almacenada en forma cifrada y funcionan tanto en el sitio web como en la aplicación para mantener y escalar la experiencia del usuario. Espero que el artículo le brinde todos los conocimientos sobre la autenticación basada en tokens y cómo ayuda a garantizar que los datos cruciales se utilicen indebidamente.