Cómo hacer autenticación de dos factores como un profesional



"¿Dónde dejé la llave de repuesto para mi cuenta de correo electrónico?" es una frase que realmente puedes decir.

"¿Dónde dejé la llave de repuesto para mi cuenta de correo electrónico?" es una frase que realmente puedes decir. (Brina Blum a través de Unsplash /)

Si su nivel de ansiedad por la seguridad y la privacidad en línea es saludable, probablemente ya tenga configurada la autenticación de dos factores (2FA) para sus cuentas principales. Si no lo hace, debería considerar seriamente activarlo para protegerse del phishing, los piratas informáticos y cualquier persona que quiera robar sus datos.

¿No sabes de qué estoy hablando? Aquí está el 101: 2FA agrega una capa adicional de seguridad a sus cuentas en línea. Cuando se activa, este protocolo le pedirá algo diferente a su nombre de usuario y contraseña cada vez que inicie sesión desde un nuevo dispositivo. Puede ser un código, una clave o aceptar un mensaje en su teléfono inteligente. De esta manera, si alguien obtiene su contraseña, 2FA evitará que ingresen a su cuenta.

"Definitivamente es mucho mejor que no tener ningún segundo factor. Le has dado a cualquier atacante más trabajo del que necesita ", dice Shuman Ghosemajumder, director de tecnología de Shape Security.

Pero decidir activar 2FA es como decidir que quieres comenzar a correr: ¿solo quieres trotar un poco, entrenar para un 5k o ponerte en forma para un maratón completo? Existen varias opciones, incluidas las aplicaciones y las claves de seguridad, que proporcionan diferentes niveles de protección para todas sus necesidades de seguridad y privacidad. Puede usar un método único que funcione mejor para usted o emplear varios para una cuenta, dependiendo de la plataforma. La decisión es tuya.

Nivel 1: SMS

No te emoci ones demasiado, no es el chico lindo del fin de semana. Es solo Google.

No te emociones demasiado, no es el chico lindo del fin de semana. Es solo Google. (Sandra Gutiérrez G. /)

Las personas a menudo eligen emplear 2FA a través de mensajes de texto (específicamente, servicio de mensajes cortos o SMS) porque es muy práctico. El proceso es simple: inicia sesión en su cuenta con su nombre de usuario y contraseña, recibe un texto con un código, luego escribe ese código en la pantalla de inicio de sesión para obtener acceso a su cuenta.

El problema con los mensajes de texto es que debido a que los datos viajan a través de una línea telefónica, pueden verse comprometidos y su código de seis dígitos interceptado. ¿Sabes cómo puedes cambiar de proveedor de telefonía celular y aún así conservar tu número? Eso se llama un intercambio de SIM y puede solicitar uno proporcionando nada más que su número de teléfono y los últimos cuatro dígitos de su número de Seguro Social. Gracias, en parte, a los principales piratas informáticos, Internet actualmente tiene una base de datos de SSN bien cuidada, lo que podría facilitar que un ladrón de cuentas robe su número de teléfono celular y redirija sus textos de autenticación a otro dispositivo.

Eso es exactamente lo que sucedió en 2018 cuando los piratas informáticos accedieron a las cuentas de los empleados de Reddit a través de 2FA basado en mensajes de texto, datos comprometedores de miles de usuarios de las plataformas.

Si crees que nadie pasaría por tantos problemas para robar tus datos, piénsalo de nuevo.

"Ciertamente es algo que sucede, pero lo que es aún más fácil que eso es usar ese número de teléfono para enviar un mensaje de phishing", dice Ghosemajumder.

Eso se llama smishing—Un resumen de "SMS" y "phishing" —y es la versión de mensaje de texto de esos correos incompletos que dicen venir de su banco y le instan a hacer clic en un enlace.

Aún así, el 2FA basado en mensajes de texto es práctico y, independientemente de sus vulnerabilidades, es mejor que nada. Pero si almacena datos confidenciales en sus cuentas o si simplemente lo hemos alejado de los mensajes de texto, existen otros métodos más seguros que puede probar.

Nivel 2: Aplicaciones y mensajes y códigos, ¡oh!

¿Te imaginas a alguien tomando fotos con filtros totalmente básicos de tu Snapchat? Mejor proteger esa cuenta.

¿Te imaginas a alguien tomando fotos con filtros totalmente básicos de tu Snapchat? Mejor proteger esa cuenta. (Google Play Store /)

Los usuarios de Google pueden solicitar recibir avisos para verificar un inicio de sesión en su cuenta desde un nuevo dispositivo. Luego, cuando inicie sesión con su nombre de usuario y contraseña, verá una ventana emergente en su teléfo no que le preguntará si realmente fue usted quien intentó iniciar sesión y si lo autorizó. Estas indicaciones están encriptadas y viajan a través de la red de Google, por lo que es menos probable que se vean comprometidas que los mensajes de texto, lo que las hace más seguras.

Pero no todas las plataformas ofrecen indicaciones. Es por eso que otra estrategia popular para 2FA es usar aplicaciones generadoras de código. Se explican por sí solas: las aplicaciones generan códigos de seis dígitos que puede usar para iniciar sesión en sus cuentas. Estos códigos se crean aleatoriamente utilizando el protocolo de contraseña de un solo uso (TOTP) basado en el tiempo, lo que significa que solo se pueden usar una vez y durante un tiempo limitado, generalmente 30 segundos, antes de que se reemplacen automáticamente por otro. Las aplicaciones generadoras de código pueden ser prácticas porque le permiten vincular tantas cuentas como desee, pero solo necesita ir a un lugar para todos sus códigos.

Una de las aplicaciones generadoras de código más simples es Google Authenticator (disponible para Androide y iOS) No solo funciona con cuentas de Google, sino también con cualquier otra plataforma que admita 2FA basada en generador de código.

Si quieres una experiencia más personalizable, puedes buscar aplicaciones como AndOTP (disponible solo para Android) o Authy (también disponible para iOS), que le permiten agregar etiquetas e iconos con los logotipos de varias plataformas, para que pueda identificar los códigos de un vistazo.

Para mayor seguridad, puede proteger estas aplicaciones con un número PIN o, en el caso de Authy, su huella digital, por lo que incluso si alguien roba su teléfono y obtiene acceso a él, aún no podría usar su aplicación generadora de códigos. Otra característica interesante de AndOTP y Authy es "tocar para revelar", que oculta todos sus códigos y solo revela uno a la vez cuando toca el que necesita. Esto puede ser útil si accede a una de sus cuentas en un lugar público donde alguien puede ver fácilmente su teléfono.

Para utilizar una aplicación generadora de código en Facebook, por ejemplo, vaya a Configuraciones > Seguridad e inicio de sesión > Usar autenticación de dos factores > Aplicación de autenticación. Facebook mostrará un código QR que tendrá que escanear con la cámara de su teléfono a través de la aplicación de generador de código cuando agregue su cuenta de Facebook. Finalmente, ingrese el código provisto por la aplicación. Esto asegurará que su aplicación esté sincronizada con Facebook.

Nivel 3: si no confías en lo digital, ve a lo analógico

¿Cargar o usar su clave de seguridad? Ah, ahí está el problema.

¿Cargar o usar su clave de seguridad? Ah, ahí está el problema. (Yubico /)

En una era en la que a veces parece que nada de lo que pones en tu teléfono es seguro, volver a lo básico puede ser una buena idea. Si su nivel de ansiedad por la seguridad es tan alto, hay un par de métodos más analógicos que puede usar con 2FA que le permitirán dormir mejor por la noche.

La opción más fácil es obtener una clave de seguridad, un pequeño dispositivo USB que usa de la misma manera que lo haría con las llaves de su apartamento. Una vez que ingrese su nombre de usuario y contraseña en un nuevo dispositivo, el protocolo 2FA le pedirá que conecte su clave de seguridad al puerto USB del dispositivo y la toque una vez para completar su inicio de sesión. Estos pequeños gadgets son súper útiles y excepcionalmente fáciles de transportar: simplemente engancha el tuyo a tu llavero y siempre lo tendrás contigo.

Las claves de seguridad más tradicionales del mercado son compatible con puertos USB-A o, como ya lo sabrá, puertos USB regulares con boca de pato. Esto inmediatamente deja atrás dispositivos móviles como teléfonos inteligentes y tabletas, así como pequeñas computadoras portátiles como MacBook Air que no tienen sus propios puertos USB-A. También hay en el mercado llaves de seguridad USB-C, y son compatibles con la mayoría de los dispositivos móviles más nuevos, pero tienden a ser un poco más costosas. $ 40 a $ 60 en Amazon.

Es común que las personas registren varias claves de seguridad para una sola cuenta, dice Ghosemajumder. De esa manera, pueden guardar un repuesto en un lugar seguro en caso de que pierdan uno que usan regularmente.

Si sigue extraviando sus claves de seguridad o simplemente no quiere invertir en una, su teléfono Android puede actuar como clave para su cuenta de Google. La compañía anunció esta nueva característica en abril, y permite a las personas usar sus teléfonos inteligentes para confirmar los inicios de sesión a través de Bluetooth. Al hacerlo, conectará su teléfono al dispositivo en el que está iniciando sesión y se asegurará de acceder a un sitio web seguro.

Si esto aún no es lo suficientemente analógico para usted, siempre puede optar por códigos de respaldo o recuperación. Compatible con todas las plataformas principales, incluidas Google, Apple, Facebook, Instagram y Twitter, este método implica uno o más códigos que puede guardar en un documento o copiar en un papel y llevar consigo. Para su cuenta de Google, por ejemplo, puede encontrarlos en Cuenta > Seguridad > Verificación en 2 pasos > Códigos de respaldo. En general, figuran en la sección de códigos de recuperación o copia de seguridad en la configuración de 2FA de la mayoría de las cuentas.

Nada es más análogo que la pluma y el papel. Aunque también puedes tallar tus códigos de respaldo en alguna cueva. Eso funcionará

Nada es más análogo que la pluma y el papel. Aunque también puedes tallar tus códigos de respaldo en alguna cueva. Eso funcionará (Kelly Sikkema a través de Unsplash /)

Estos son limitados y solo puede usar cada uno de ellos una vez, por lo tanto, si se le acaba, debe iniciar sesión nuevamente y obtener más. Los códigos de respaldo no están diseñados para usarse en lugar de mensajes o claves de seguridad, pero pueden ser bastante útiles en casos extremos, como cuando viaja y no tiene su teléfono o clave de seguridad con usted.

Como puede ver, hay muchas maneras de usar 2FA y puede elegir cuál funciona mejor para usted. Las diferentes plataformas admiten diferentes métodos, así que echa un vistazo Autenticación de dos factores para ver cuáles están disponibles para sus cuentas.

Tenga en cuenta que puede y debe habilitar más de un método de 2FA. Siempre es una buena idea tener una copia de seguridad en caso de que pierda su teléfono o clave de seguridad, o si hay algún problema con su conexión. Solo recuerde que su estrategia de seguridad será tan débil como el método 2FA menos seguro que elija. Así que elige sabiamente.

LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *