Fuente: Alex Dobie / Android Central
Debería utilizar la autenticación de dos factores en todas las cuentas que le brinden la opción. No hay mejor manera de mantener segura su cuenta y, sin importar quién sea, debe desear que todas sus cuentas estén lo más seguras posible. Tampoco importa qué teléfono uses: 2FA funciona con un teléfono Android barato, el mejor teléfono Android o un iPhone. Has escuchado todo esto antes.
Sin embargo, no todos los métodos de dos factores son iguales. Como cualquier otra medida de seguridad de cara al usuario, debe cambiar algo de conveniencia por protección y los métodos más seguros de 2FA también son los menos convenientes. Por el contrario, los métodos más convenientes son también los menos seguros.
Ofertas de VPN: licencia de por vida por $ 16, planes mensuales a $ 1 y más
Veremos las diferentes formas en que puede usar la autenticación de dos factores y discutiremos los pros y los contras de cada uno.
Evítelo a toda costa, aunque es mejor que nada
4. Autenticación de dos factores basada en SMS
Recibir un mensaje de texto con un código de dos factores es la forma más popular de asegurar una cuenta en línea. Desafortunadamente, también es la peor forma.
2FA basado en SMS es fácil y conveniente. Tampoco es muy seguro.
Usted da su número de teléfono cuando se registra para obtener una cuenta o si vuelve y habilita 2FA en un momento posterior, y una vez que se verifica el número, se usa para enviarle un código en cualquier momento que necesite autenticar que realmente es usted. Es muy fácil y muy conveniente, lo que significa que mucha gente lo usa y muchas empresas lo ofrecen como el único medio para asegurar una cuenta.
La facilidad de uso y la conveniencia son grandes cosas, pero nada más acerca de los SMS es bueno. SMS nunca se diseñó para ser un medio de comunicación seguro y, dado que es un estándar de la industria, incluso una aplicación como Signal que lo hace ofrecer mensajería cifrada y segura aún envía mensajes SMS como texto sin formato. Nathan Collier, analista senior de inteligencia de malware en Malwarebytes, describe los SMS de esta manera:
Los mensajes de texto SMS, que se envían y almacenan en servidores en texto sin formato, se pueden interceptar durante el tránsito. Además, es posible que los mensajes SMS se envíen al número incorrecto. Y cuando los mensajes llegan al número correcto, el destinatario no notifica si el mensaje fue leído o incluso recibido.
Un problema mayor es que los operadores pueden (y han sido) engañados para que autoricen una nueva tarjeta SIM utilizando el número de teléfono de otra persona. Si alguien De Verdad quería tener acceso a su cuenta bancaria u ordenar un montón de cosas de Amazon con su tarjeta de crédito, todo lo que necesitan hacer es convencer a alguien de su proveedor de que es usted, que perdió su teléfono y necesita que su número se mueva a una nueva tarjeta SIM que tienen.
Todo esto también se aplica a la autenticación basada en correo electrónico. El correo electrónico es realmente la única forma en que puede funcionar cualquier proceso de recuperación de cuenta, y muchos lugares, como su banco, querrán enviarle un código por correo electrónico para iniciar sesión desde un nuevo dispositivo. Simplemente no es muy seguro y todos en la industria lo saben. Tal vez lo siguiente sea arreglar cómo se usa el correo electrónico como columna vertebral para este tipo de cosas.
Probablemente deberías usar esto
3. Aplicaciones de autenticación
Las aplicaciones de autenticación como Google Authenticator o Authy ofrecen una gran mejora sobre la 2FA basada en SMS. Funcionan usando lo que se llama contraseñas de un solo uso basadas en el tiempo (TOTP) que una aplicación en su teléfono puede generar usando un algoritmo complejo sin cualquier tipo de conexión de red. Un sitio web o servicio utiliza el mismo algoritmo para asegurarse de que el código sea correcto.
Las aplicaciones de autenticación son mejores que los SMS para 2FA, pero no son infalibles.
Dado que funcionan sin conexión, el estilo TOTP, 2FA no está sujeto a los mismos problemas que el uso de SMS, pero no está exento de fallas. Los investigadores de seguridad han demostrado que es Es posible interceptar y manipular los datos que estás enviando cuando ingresas al TOTP en un sitio web, pero no es fácil.
El verdadero problema proviene del phishing. Es posible crear un sitio web de phishing que se vea y actúe como el real e incluso transmita las credenciales que proporcione, como su contraseña y el TOTP generado por una aplicación de autenticación para que pueda iniciar sesión en el servicio real. También se registra a sí mismo al mismo tiempo y puede actuar como si fuera usted sin que el servicio que está utilizando sepa la diferencia. Después de todo, se proporcionaron las credenciales correctas.
Otra desventaja es que puede que no sea fácil obtener los códigos que necesita si pierde su teléfono. Algunas aplicaciones de autenticación como Authy funcionan en todos los dispositivos y usan una contraseña central para configurar las cosas para que pueda volver a estar en funcionamiento en poco tiempo y la mayoría de las empresas proporcionarán un conjunto de códigos de respaldo que puede conservar para los momentos en que todo va mal. Dado que esos datos también se envían a través de Internet, debilita la eficacia del uso de TOTP, pero ofrece una mayor comodidad a los usuarios.
Seguro y conveniente, pero no común
2. 2FA basado en push
Algunos servicios, sobre todo Apple y Google, pueden enviar un mensaje a su teléfono durante un intento de inicio de sesión. Este mensaje le indica que alguien está intentando iniciar sesión en su cuenta, también puede proporcionar una ubicación aproximada y le pide que apruebe o rechace la solicitud. Si es usted, toca un botón y simplemente funciona.
Una notificación para 2FA es muy fácil y muy conveniente. Sin embargo, no pierdas tu teléfono.
2FA basado en push mejora la autenticación de SMS 2FA y TOTP de un par de formas. Es incluso más conveniente porque todo funciona a través de una notificación estándar en su teléfono; todo lo que necesita hacer es leer y tocar. También es mucho más resistente al phishing y, hasta ahora, ha demostrado ser muy resistente al “pirateo”. Sin embargo, nunca digas nunca.
2FA basado en push también magnifica algunas de las desventajas de SMS y TOTP: debe estar en línea a través de una conexión de datos real (los planes de celular de voz y texto no funcionarán) y debe tener el dispositivo correcto para recibir el mensaje. Tampoco está muy estandarizado, por lo que puede esperar usar un mensaje de inicio de sesión en su Google Pixel para autenticar sus otras cuentas.
Fuera de estos dos inconvenientes muy reales, se ha demostrado que 2FA basado en push es seguro y conveniente. También se tendrá en cuenta en los planes futuros de Google para hacer cumplir la 2FA en su cuenta de Google en el futuro.
¡El ganador! ¡Pero también molesto!
1. 2FA basado en hardware
El uso de una pieza de hardware separada, como un dispositivo de autenticación o una clave de seguridad U2F, es la mejor manera de proteger cualquier cuenta en línea. También es el menos conveniente y el menos popular.
Lo configura utilizando el hardware y cada vez que desea iniciar sesión desde un nuevo dispositivo o después de un período de tiempo establecido por un administrador de cuenta, debe producir el mismo dispositivo para volver a ingresar. Funciona mediante el dispositivo que envía un desafío firmado devuelva el código al servidor que es específico del sitio, su cuenta y el dispositivo en sí. Hasta ahora, U2F ha sido a prueba de phishing y piratería. Nuevamente, nunca digas nunca.
El uso de una clave U2F es la forma menos conveniente pero más segura de realizar la autenticación de dos factores. Probablemente no sea para ti porque es un PITA.
Por lo general, puede configurar más de un dispositivo en la misma cuenta para no perder el acceso si pierde su clave de seguridad, pero aún así significa que debe tener esa clave con usted cada vez que quiera iniciar sesión en un sitio web. o servicio. Utilizo una clave U2F para proteger mis cuentas de Google, y cada 12 horas necesito proporcionar la clave para volver a mi cuenta de Google Enterprise para trabajar. Eso significa que tengo una llave en el cajón de mi escritorio, una llave en mi llavero y una llave en un sobre que un amigo me guarda en caso de una emergencia.
Por lo general, también puede configurar un método de respaldo de 2FA si está usando una clave, y Google lo obliga a hacerlo. Esto es excelente por conveniencia, pero también compromete la seguridad de su cuenta porque los métodos menos seguros siguen siendo formas viables para que usted, o cualquier otra persona, vuelva a ingresar.
Otro inconveniente de usar un token de hardware como una clave de seguridad es el costo. El uso de SMS, una aplicación de autenticación o 2FA basado en push es gratuito. Para usar una llave de seguridad, deberá comprar una y pueden oscilar entre $ 20 y $ 100 cada una. Debido a que realmente debería tener al menos una clave de respaldo si va por esta ruta, esto puede sumar. Finalmente, usar una llave de seguridad con su teléfono puede resultar complicado. Encontrará claves que funcionan a través de USB, NFC e incluso Bluetooth, pero ningún método es 100% confiable el 100% del tiempo cuando se usa una clave con un teléfono.
¿Cuál es el mejor?
Todos ellos y ninguno de ellos.
Cualquier tipo de 2FA en una cuenta es mejor que ninguno, e incluso 2FA basado en SMS significa que está más protegido de lo que estaría si solo confiara en una contraseña. Si tiene paciencia, un programa como el Programa de protección avanzada de Google puede hacer que su vida en línea muy seguro y casi sin preocupaciones. Pero debe sopesar la conveniencia con la seguridad.
Personalmente, desearía que la 2FA basada en SMS simplemente desapareciera porque incluso yo puedo piratearla. Eso significa que usted también puede hacerlo si está dispuesto a leer un poco y copiar y pegar. Peor aún, significa que cualquiera puede piratearlo y hay personas que se tomarán el tiempo y la energía para probarlo con cualquier víctima desprevenida que puedan encontrar.
Al final, debes darte cuenta de que eres un objetivo para los piratas informáticos en línea aunque no seas un político o una estrella de cine. Esto significa que realmente necesita dar un paso o dos adicionales para proteger sus cuentas en línea y, con suerte, saber un poco más sobre cómo funcionan los diferentes métodos de autenticación de dos factores y pueden ayudarlo a tomar la decisión correcta.
Revisión del ojo del templo: espeleología como Indiana Jones
Eye of the Temple es un juego de rompecabezas de aventuras de realidad virtual único en el que caminarás físicamente en lugar de usar los joysticks de tu controlador para moverte. Es una experiencia liberadora que es genial para cualquiera que ame los rompecabezas.
