¿Cómo funciona la autenticación de dos pasos?

Esta es la tercera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- violaciones de datos.

Hoy vamos a hablar acerca del doble factor de autenticación, también conocido como two factor authentication, o 2FA por sus siglas en inglés.

El concepto de doble factor de autenticación (aunque algunos lo llaman autenticación de dos pasos) dice que el usuario debe ser “desafiado” a utilizar dos mecanismos de autenticación entre los siguientes tres:

  • Algo que sabés
  • Algo que tenés
  • Algo que sos

Algo que sabés suele ser tu contraseña, mientras que algo que sos podría ser tu huella digital, reconocimiento facial, de retina, entre otros. Pero vamos a hablar del segundo mecanismo de autenticación más utilizado en el mundo: algo que tenés.

Algo que tenés puede ser una tarjeta inteligente –smart card-, una llave de autenticación (como las YubiKey) o un token (físico o virtual).

Para que el desafío sea superado y el usuario habilitado a iniciar sesión en el sitio web, aplicación o sistema al que intenta acceder, deberá ingresar su usuario y contraseña + el segundo factor de autenticación. En esta imagen podemos observar cómo el usuario es “desafiado” a ingresar su token para finalizar el inicio de sesión:

¿Y cómo puede ayudarte esto a prevenir un ataque? Simplemente porque a un atacante le resultaría más dificil obtener los dos factores de autenticación (contraseña + token) que uno solo.

Si el atacante lograra obtener acceso a tu contraseña de Gmail necesitaría también conocer el token (que cambia cada 30 segundos), para poder ingresar.

Los tokens pueden ser físicos (como los que ofrece la compañía Duo Security) o virtuales (también conocidos como software tokens).

Los software tokens más populares son Google Authenticator (Play Store / App Store), Authy (Play Store / App Store) y Microsoft Authenticator (Play Store / App Store).

Todos funcionan bastante parecido, pero en lo personal utilizo Authy desde el año 2014 y estoy muy conforme. Desde ese entonces he cambiado más de 4 veces de teléfono (incluyendo un pasaje de Android a iOS) y los tokens siempre se mantuvieron conmigo. La interfaz es muy bonito y cumple su función a la perfección.

img_2995.jpg

Al día de publicado este post tengo habilitado el doble factor de autenticación en más de 80 sitios. Una lista completa de los sitios que soportan algún mecanismo de doble factor de autenticación está disponible acá.

Les dejo algunos paso-a-paso para activar el doble factor de autenticación en los sitios más populares:

Algunos sitios también envían el token por SMS (como Instagram, o LinkedIn), pero es aconsejable utilizar un token virtual en lugar del SMS dado que se han descubierto múltiples vulnerabilidades (técnicas y humanas) en las redes móviles y en el proceso que se utiliza para “portar” las líneas de un operador a otro. Pero esa es historia para otro post.

En la siguiente entrega vamos a hablar de las llaves de autenticación.

¡Hasta la próxima!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.