Identification and Authentication Failures

### Aspectos Clave de las Fallas de Identificación y Autenticación 1. **Gestión Insegura de Contraseñas**: Incluye el almacenamiento inseguro de contraseñas, como la falta de hash adecuado, o el uso de algoritmos de hash débiles y fácilmente vulnerables a ataques de fuerza bruta. 2. **Autenticación Insuficiente**: Falta de mecanismos robustos de autenticación que permitan a los atacantes eludir la autenticación o realizar ataques de reutilización de credenciales, como el secuestro de sesión. 3. **Implementación Defectuosa de Autenticación de Múltiples Factores (MFA)**: Una implementación inadecuada de MFA que puede ser eludida o no se aplica de manera uniforme, proporcionando una falsa sensación de seguridad. 4. **Gestión de Sesión Deficiente**: Incluye la creación de tokens de sesión predecibles, no invalidar la sesión después de un logout o después de un período de inactividad, o permitir el uso simultáneo de sesiones, lo que aumenta el riesgo de secuestro de sesión.

aqui la pregunta es porque Platzi no tiene un 2FA ?

Hay algo que no entiendo, por qué hoy en día se debe tener ciertas condiciones para tener una clave fuerte, si aún los bancos al menos aquí en Colombia piden crear una de solo 4 dígitos?

## **Identification and Authentication Failures** Riesgo asociado a compromiso de credenciales de acceso y el proceso de autenticación *Ejemplo* * Uso de contraseñas débiles *Impacto* * Credenciales de acceso comprometidas *Controles* 1. Uso de Múltiple factor de autenticación,captcha, passkeys… 2. Crear campañas de weak password checks 3. Diccionarios propios por la empresa 4. Rate limit a intentos de login

Bursuite es una herramienta utilizada para realizar pruebas de seguridad, como el análisis de vulnerabilidades en aplicaciones web. Permite a los pentesters capturar y modificar mensajes HTTP, facilitando la identificación de debilidades en el proceso de autenticación, como ataques de diccionario o fuerza bruta. Su función es clave para mejorar la seguridad de las aplicaciones, asegurando que se implementen controles adecuados contra fallos de identificación y autenticación.

Una passkey es una forma de autenticación que permite a los usuarios acceder a sus cuentas sin necesidad de recordar una contraseña. Un ejemplo común es el uso de dispositivos biométricos, como huellas dactilares o reconocimiento facial, en smartphones o laptops. En lugar de ingresar una contraseña, el usuario simplemente utiliza su huella o su cara para desbloquear el acceso a su cuenta. Esto mejora la seguridad reduciendo el riesgo de contraseñas débiles o comprometidas.

Una Passkey es un método de autenticación que elimina la necesidad de contraseñas. Utiliza claves criptográficas para autenticar a los usuarios de forma más segura. Almacena una clave en el dispositivo que se usa, que se combina con otra clave guardada en el servidor. Esto previene ataques comunes como phishing y el uso de contraseñas débiles. Las Passkeys están diseñadas para facilitar la experiencia del usuario y aumentar la seguridad, siendo una alternativa a métodos tradicionales de autenticación.