Google facilita a los usuarios la activación de la protección avanzada de cuentas
imágenes falsas
Google está facilitando que las personas bloqueen sus cuentas con una fuerte autenticación multifactor al agregar la opción de almacenar claves criptográficas seguras en forma de claves de acceso en lugar de dispositivos de token físicos.
Programa de protección avanzada de Google, introducido En 2017, se requiere la forma más sólida de autenticación multifactor (MFA). Mientras que muchas formas de MFA se basan en códigos de acceso de un solo uso enviados a través de SMS o correos electrónicos o generados por aplicaciones de autenticación, las cuentas inscritas en la protección avanzada requieren MFA basada en claves criptográficas almacenadas en un dispositivo físico seguro. A diferencia de los códigos de acceso de un solo uso, las claves de seguridad almacenadas en dispositivos físicos son inmunes al phishing de credenciales y no se pueden copiar ni rastrear.
Democratizando APP
APP, abreviatura de Advanced Protection Program (Programa de Protección Avanzada), exige que la clave esté acompañada de una contraseña cada vez que un usuario inicia sesión en una cuenta en un dispositivo nuevo. La protección evita los tipos de robos de cuentas que permitieron a los piratas informáticos respaldados por el Kremlin acceder a las cuentas de Gmail de funcionarios demócratas en 2016 y filtrar correos electrónicos robados para interferir en las elecciones presi denciales de ese año.
Hasta ahora, Google exigía a los usuarios que tuvieran dos claves de seguridad físicas para registrarse en la aplicación. Ahora, la empresa permite utilizar dos claves de acceso o una clave de acceso y un token físico. Quienes busquen mayor seguridad pueden registrarse utilizando tantas claves como quieran.
“Estamos ampliando la apertura para que la gente tenga más opciones a la hora de inscribirse en este programa”, dijo a Ars Shuvo Chatterjee, el líder del proyecto APP. Dijo que la medida se produce en respuesta a los comentarios que Google ha recibido de algunos usuarios que no podían permitirse comprar las claves físicas o vivían o trabajaban en regiones donde no están disponibles.
Como siempre, los usuarios deben tener dos claves para registrar y evitar que se les bloquee el acceso a sus cuentas si una de ellas se pierde o se rompe. Si bien los bloqueos siempre son un problema, pueden ser mucho peores para los usuarios de la aplicación porque el proceso de recuperación es mucho más riguroso y lleva mucho más tiempo que para las cuentas que no están registradas en el programa.
Las claves de acceso son una creación de FIDO Alliance, un grupo intersectorial compuesto por cientos de empresas. Se almacenan localmente en un dispositivo y también se pueden almacenar en el mismo tipo de token de hardware que almacena las claves MFA. Las claves de acceso no se pueden extraer del dispositivo y requieren un PIN o un escaneo de una huella dactilar o del rostro. Proporcionan dos factores de autenticación: algo que el usuario sabe (la contraseña subyacente utilizada cuando se generó la clave de acceso por primera vez) y algo que el usuario tiene (el dispositivo que almacena la clave de acceso).
Por supuesto, la flexibilización de los requisitos sólo llega hasta cierto punto, ya que los usuarios deben seguir teniendo dos dispositivos. Pero al ampliar los tipos de dispositivos necesarios, la aplicación se vuelve más accesible, ya que muchas personas ya tienen un teléfono y una computadora, afirmó Chatterjee.
“Si estás en un lugar donde no puedes conseguir llaves de seguridad, es más conveniente”, explicó. “Este es un paso hacia la democratización del acceso [users] “Llegue al nivel de seguridad más alto que ofrece Google”.
A pesar del mayor escrutinio que implica el proceso de recuperación de cuentas de APP, Google está renovando su recomendación de que los usuarios proporcionen un número de teléfono y una dirección de correo electrónico como respaldo.
“Lo más resistente es tener varias cosas archivadas, de modo que si pierdes esa clave de seguridad o la clave explota, tengas una forma de volver a ingresar a tu cuenta”, dijo Chatterjee. No proporciona los detalles de la “salsa secreta” sobre cómo funciona el proceso, pero dijo que implica “montones de señales que analizamos para averiguar qué está sucediendo realmente”.
“Incluso si tienes un teléfono de recuperación, un teléfono de recuperación por sí solo no te permitirá acceder a tu cuenta”, dijo. “Por lo tanto, si te cambian la tarjeta SIM, no significa que alguien pueda acceder a tu cuenta. Es una combinación de varios factores. Es la suma de todo eso lo que te ayudará en tu camino hacia la recuperación”.
Los usuarios de Google pueden inscribirse en la aplicación visitando este enlace.