¿Por qué las redes privadas usan tanto la autenticación X.509 como la de usuario / contraseña?

Los certificados X.509 tienen varias propiedades que las contraseñas no tienen; muchos de estos se derivan de ellos, generalmente en el factor de autenticación "algo que tienes", en lugar del "algo que sabes" que se aplica a las contraseñas.

• Son inmunes a los intentos de phishing; a diferencia de una contraseña, donde el servidor debe recibir la contraseña de texto simple para autenticarlo, un certificado X.509 lo autentica firmando algunos datos. Un sitio de phishing obtiene una contraseña que puede cambiar y usar en el sitio real; la autenticación X.509 solo le otorga una única firma del certificado y no le otorga la clave privada que necesitaría para hacerse pasar por usted.
• Del mismo modo, no suponen ningún riesgo de navegar por los hombros, o de que un usuario diga su contraseña a sus compañeros de trabajo, o algo parecido. Un usuario podría exportar la clave privada, pero eso es mucho menos probable que un usuario que le diga una contraseña a alguien.
• No dependen de que un usuario los elija y los recuerde. Esto significa que pueden ser de muy alta entropía, y no hay riesgo de una elección común o mala del certificado X.509, que existe con las contraseñas.
• A menudo, obtiene certificados separados para cada navegador o dispositivo que tiene. Eso significa que la escuela podría revocar uno de ellos si el dispositivo es robado sin tener que revocarlos a todos.

• No representan ningún riesgo si se reutilizan en otros sitios. Si usa la contraseña de su escuela en otro sitio, ese sitio podría recolectar la contraseña o podría almacenarla de manera incompetente y robarla en una infracción. Con los certificados X.509, el sitio normalmente ni siquiera conoce su clave privada, por lo que si usa el mismo certificado para varios sitios, no tiene que confiar en todos ellos para proteja sus credenciales (si usa la misma contraseña en varios sitios y cualquiera de ellos la protege mal, está comprometida para todos ellos).

• Cuando no se combina con una contraseña, el hecho de que pueda usarla en un sitio sin que el sitio tenga que saber lo suficiente como para hacerla representar significa que sirve como un sistema similar a un SSO, sin necesidad de redirigirlo a alguna página de inicio de sesión centralizada. Con la contraseña de inicio de sesión único (SSO), debe iniciar sesión en el proveedor de SSO si aún no lo ha hecho, lo que significa que se le envía a otra página (ya que el inicio de sesión requiere que el servidor de inicio de sesión tenga su contraseña). Con los certificados, no es necesario que proporcione ninguna información secreta a nadie para la autenticación, por lo que puede autenticar directamente en el sitio al que se dirige.

• Cuando se usa para SSO, no confía en que ningún servidor de autenticación central esté activo. Con el SSO de contraseña, necesita servidores centrales altamente seguros para manejar las solicitudes de inicio de sesión si un usuario aún no ha iniciado sesión (ya que necesita saber la contraseña del usuario o el hash de la contraseña); con ciertos métodos de SSO de contraseña, necesita servidores centrales altamente seguros para manejar todas las solicitudes de autenticación. Con X.509, cualquier persona con el certificado de CA de la escuela puede verificar su certificado X.509. Es mejor si pueden verificar si ha sido revocado, pero el manejo de la revocación de certificados se puede hacer a través de CRL, que se pueden almacenar en caché en otros servidores que no necesitan ser altamente seguros (y por lo tanto es más fácil asegurarse de que al menos uno sea corriendo).

Todos se aplican a X.509 cuando se usan de forma aislada. También (y esta es la razón por la que debe ingresar ambos ):

• Cuando se combinan con una contraseña, proporcionan autenticación de dos factores (una contraseña es algo que sabes, un certificado es algo que tienes).