La era de la autenticación automatizada a través del escaneo biométrico está casi aquí. Sin embargo, incluso en este momento de Face ID de Apple, Hello de Windows 10 y la prometedora especificación FIDO2, las contraseñas siguen siendo la forma principal de iniciar sesión en nuestras diversas cuentas. Es por eso que la autenticación de dos factores (2FA) es un paso secundario importante para proteger sus datos y servicios en línea.
¿Qué es la autenticación de dos factores?
La autenticación de dos o varios factores es un código de inicio de sesión adicional para una cuenta, una segunda línea de defensa para su información confidencial.
La idea básica es que una sola contraseña para sus cuentas importantes simplemente no es suficiente. Si se adivina su contraseña, o los hackers roban una base de datos con su información de inicio de sesión en texto plano, su cuenta es un blanco fácil. La autenticación de dos factores intenta corregir ese defecto al requerir un código secundario llamado contraseña de un solo uso (OTP, por sus siglas en inglés), generalmente de seis caracteres de longitud y generado por una aplicación para teléfonos inteligentes, antes de que pueda acceder a su cuenta. De esa manera, incluso si un hacker tiene tu contraseña, aún tendrá que descifrar un código secundario, lo que hace que entrar sea mucho más difícil.
También hay una forma más fácil de usar 2FA llamada estándar FIDO U2F, compatible con Google, Facebook y muchos otros. Con este tipo de autenticación, utiliza una clave de seguridad física, la inserta en su PC, toca el botón de la clave y inicia sesión «automáticamente».
Clave de seguridad Titan de Google.
2FA no es infalible, sin embargo. Si decide obtener sus códigos 2FA a través de SMS, por ejemplo, el código podría ser interceptado por piratas informáticos, como demostraron los investigadores de Positive Technologies en 2017. Dicho esto, la autenticación por SMS sigue siendo mucho mejor que nada. En mayo de 2019, Google anunció un estudio de un año que realizó en asociación con la Universidad de Nueva York y la Universidad de California, San Diego. El trío descubrió que la autenticación por SMS bloqueaba el 96 por ciento de los ataques de phishing masivos y el 76 por ciento de los ataques dirigidos que intentaban entrar en su cuenta de Google.
Esa no es una mala protección, pero la estrategia de aviso en el dispositivo de Google (hablaremos de esto más adelante) fue aún mejor, bloqueando el 99 por ciento de los ataques de phishing masivos y el 90 por ciento de los ataques dirigidos. La autenticación de dos factores basada en aplicaciones es similar en el sentido de que el segundo paso se genera en el propio teléfono inteligente. Por lo tanto, si bien este estudio no mencionó específicamente las aplicaciones 2FA, esperamos que los resultados sean los mismos, si no mejores, que un aviso en el dispositivo.
El hecho es que usar una solución 2FA basada en software o hardware en un dispositivo que posea es una excelente manera de proteger su cuenta, y mucho mejor que simplemente usar SMS.
Opciones de software
Cualquier servicio que admita el enfoque OTP 2FA estándar funcionará con todas las aplicaciones a continuación, y eso incluye la mayoría de los sitios web y servicios principales. Una excepción notable es Steam, que proporciona una opción 2FA de cosecha propia en su aplicación móvil.
Google Authenticator: Mejor general
Una de las maneras más comunes de uso de la autenticación de dos factores es Google Authenticator. Esta es una aplicación gratuita para teléfonos inteligentes de Google disponible para Android e iOS.
Usarlo es muy simple y puede introducir a los principiantes a la premisa básica de la mayoría de las aplicaciones 2FA. Lo que haces es habilitar la autenticación de dos factores en tus servicios, como Facebook, Gmail, Dropbox. sucesivamente. Una vez que esté habilitado, el servicio le pedirá que tome una instantánea de un código QR con la aplicación: los usuarios de Android deben descargar una aplicación de lectura de códigos QR para trabajar con Google Authenticator.
Nota: En algunos casos, 2FA también se denomina verificación en dos pasos, que es una distinción que no abordaremos aquí.
Una vez que se haya leído el código QR, Authenticator comenzará a generar códigos y el servicio normalmente le pedirá que ingrese el código actual para verificar que 2FA esté funcionando. Puede agregar tantas cuentas como desee a Google Authenticator siempre y cuando sean compatibles con 2FA.
LastPass Authenticator: Finalista
La aplicación de autenticación gratuita de LastPass utiliza una función llamada notificaciones push de un solo toque inicia sesión para seleccionar sitios en PC con un clic en lugar de ingresar códigos. LastPass tiene un vídeo en YouTube que demuestra la función.
Los inicios de sesión de un solo toque funcionan con LastPass en sí y también con cinco sitios de terceros, incluidos Amazon (sin incluir AWS), Google, Dropbox, Facebook y Evernote. Para utilizar las notificaciones de un solo toque, debe tener instalada y habilitada la extensión de LastPass en su navegador. Esto significa que debe tener una cuenta de LastPass, pero bastará con una cuenta gratuita. Estos inicios de sesión de un solo toque son específicos del navegador, por lo que si inicia sesión de un solo toque en Chrome, tendrá que volver a iniciar sesión si utiliza Microsoft Edge, por ejemplo.
Todo puede parecer bastante misterioso, pero esto es lo que sucede detrás de escena con inicios de sesión de un solo toque en sitios de terceros. Cuando un usuario inicia sesión en un sitio compatible, la extensión para navegador de LastPass envía una notificación push al teléfono del usuario, que le alerta de que se está solicitando un inicio de sesión. El usuario toca Permitir en el teléfono y se devuelve un mensaje de confirmación a la extensión que incluye el código 2FA requerido. La extensión recibe esta información, la proporciona al sitio web y el usuario inicia sesión.
LastPass Authenticator también se integra con varios sitios propiedad de la empresa matriz de password manager, LogMeIn, para ofrecer un tipo similar de inicio de sesión con un solo toque. Estos sitios incluyen LastPass, LogMeIn Pro / Central, GoToAssist, LogMeIn Rescue y Xively.
Microsoft Authenticator
Microsoft también tiene una aplicación de autenticación gratuita para Android, iOS y Windows 10 Mobile. Obtiene códigos para sitios como Facebook y Dropbox al tomar un código QR como los demás. Sin embargo, para cuentas personales de Microsoft, admite notificaciones de un solo toque similares a LastPass.
La función de Microsoft puede iniciar sesión en tu cuenta desde cualquier dispositivo. Todo lo que tienes que hacer es aprobar el inicio de sesión y es tan bueno como ingresar el código corto. No es un gran ahorro de tiempo, pero es un poco más conveniente.
Authy: La mejor solución multidispositivo
Si ha utilizado 2FA durante cualquier período de tiempo, entonces sabe que una de las desventajas es que tiene que pasar por la molestia de volver a habilitar sus códigos de autenticación cada vez que cambia a un nuevo smartphone.
Si tienes 10 cuentas con 2FA, eso significa volver a tomar 10 códigos QR. Si eres un adicto a los teléfonos inteligentes al que le gusta cambiar de dispositivo cada uno o dos años, el proceso puede ser una molestia.
El servicio gratuito de Authy tiene como objetivo resolver ese problema almacenando todos sus tokens 2FA, los datos entre bastidores que hacen que sus códigos 2FA funcionen, en la nube en sus servidores. Para usar esta función, primero debe habilitar las copias de seguridad cifradas, y luego sus tokens se almacenan en los servidores de Authy.
De esa manera, cuando inicias sesión en cualquier aplicación de Authy, ya sea en tu teléfono inteligente, tableta, computadora portátil con Windows o Mac, tienes acceso a tus códigos. Incluso hay una aplicación de Chrome para usuarios de Chrome OS.
El acceso multidispositivo a sus códigos 2FA es increíble, pero viene con un inconveniente. Authy dice que sus copias de seguridad están cifradas en función de una contraseña introducida en su teléfono inteligente antes de llegar a la nube. Eso significa que su código de acceso es la única forma de descifrarlos, y Authy no lo tiene archivado. Si olvida su código de acceso, puede quedar bloqueado de sus cuentas, ya que no tendrá los códigos 2FA. La forma de recuperar el acceso a cada cuenta depende de las políticas de recuperación de cuentas de cada servicio.
Si eres nuevo en 2FA, es posible que esta no sea la aplicación para ti a menos que estés preparado para tomar las medidas adecuadas para asegurarte de que nunca pierdas el acceso a Authy, escribiendo tu código de acceso y almacenándolo en un lugar seguro.
Opciones de hardware
La forma más segura de bloquear sus cuentas con autenticación de dos factores es usar una clave de seguridad física. En el estudio de Google que mencioné anteriormente, se encontró que las claves de seguridad bloquearon el 100 por ciento de los ataques masivos de phishing y dirigidos.
El inconveniente de usar una clave de seguridad, sin embargo, es que si alguna vez pierde o rompe su clave, podría quedar bloqueado de sus cuentas, y tendrá que cambiar su método de autenticación de segundo factor a una nueva clave.
Yubico Authenticator
Esta opción es mi favorita. YubiKey de Yubico es una solución 2FA basada en hardware. Es un pequeño dispositivo similar a una tarjeta con un extremo que se inserta en un puerto USB Tipo A estándar. Puede verificar la autenticación pulsando un botón en lugar de introducir manualmente un código corto. Los YubiKeys también son muy duraderos e impermeables, por lo que es difícil arruinar estos dispositivos.
Ese enfoque de un solo toque solo funciona para cuentas que admiten el estándar FIDO U2F mencionado anteriormente, como Google y GitHub. Para aquellos servicios que no son compatibles con el estándar, un YubiKey también puede almacenar tokens 2FA y mostrar códigos en la aplicación Yubico Authenticator.
La forma en que utilices Yubico Authenticator para obtener un código 2FA depende de si utilizas la aplicación authenticator en un PC o en un smartphone Android. En el escritorio, simplemente inserte la llave en un puerto USB, y el autenticador mostrará inmediatamente sus códigos cortos y le permitirá agregar otros nuevos. Quita tu YubiKey y la aplicación dejará de mostrar códigos de inmediato. Yubico Authenticator en el escritorio funciona con la mayoría de los modelos YubiKey, excepto la tecla básica FIDO U2F.
En Android necesitas un YubiKey que sea compatible con NFC y la aplicación Yubico Authenticator, que en este momento es el YubiKey 5 NFC ($45), y el ahora descontinuado (pero aún compatible) YubiKey Neo. Con estas teclas, todo lo que hace es abrir Authenticator en su teléfono, tocar la tecla cerca del chip NFC de su teléfono y sus códigos aparecerán en la aplicación. También hay una clave de seguridad NFCRemove de non 27 que no es un enlace de producto, pero solo admite la autenticación FIDO U2F (y los inicios de sesión sin contraseña de FIDO2), no la funcionalidad de contraseña de una sola vez.
Similar a Authy, la belleza de YubiKey es que le permite transferir fácilmente sus códigos de autenticación de un dispositivo al siguiente.
Llave de seguridad Titan
Google presentó su propia llave de seguridad de hardware en 2018, la llave de seguridad Titan, que no es un enlace de producto. Esta llave viene en un paquete de 5 50 con dos dispositivos físicos. La primera es una llave con un inserto USB-A similar a YubiKey. El segundo es un dongle Bluetooth que se puede conectar a su teléfono de forma inalámbrica. La llave de seguridad Titan tiene algunos inconvenientes. En primer lugar, solo admite sitios que utilizan los estándares FIDO y FIDO2F, lo que significa que no puede recurrir a códigos OTP para sitios que admiten 2FA pero no la entrada de un solo toque de FIDO. Google también tuvo que retirar recientemente sus dongles Bluetooth después de que se descubriera un grave defecto de seguridad. Yubico, en comparación, aún no ha lanzado una versión Bluetooth de su clave de seguridad, porque no cree que la tecnología sea lo suficientemente segura. Bono
: Avisos en el dispositivo de Google
Un ejemplo de los avisos en el dispositivo de Google.
Si sumergirse en el mundo de la 2FA es demasiado para usted en este momento, ¿por qué no sumergirse en la experiencia con las indicaciones en el dispositivo de Google? Esta es una simple medida de seguridad que ayuda a proteger tu cuenta de Google.
Cada vez que quieras iniciar sesión en Google en un equipo nuevo, tendrás que autorizarlo con un solo clic en tu dispositivo Android o iOS. Para que esto funcione en Android, necesitarás la última versión de los servicios de Google Play, que la mayoría de las personas deberían tener automáticamente. Cualquier persona en dispositivos iOS necesita una versión actual de las aplicaciones de Google o Gmail.
La autenticación de dos factores es un paso importante para proteger sus cuentas importantes siempre que sea posible. A veces puede parecer una molestia ingresar ese código adicional, lo que puede que solo tenga que hacer una vez por dispositivo o una vez cada 30 días, pero es un precio que vale la pena pagar para que sus cuentas en línea sean más seguras.