2fa explicado: Cómo habilitarlo y cómo funciona

0
15

La autenticación de dos factores (2fa) es un método para establecer el acceso a una cuenta en línea o sistema computacional que requiere que el usuario brinde dos tipos diferentes de información.

Un factor en este contexto simplemente significa una forma de convencer, a un sistema informático o servicio en línea, de que usted es quien afirma ser, para que el sistema pueda determinar si tiene los derechos para acceder a los servicios de datos a los que está intentando acceder. Por lejos, el factor de autenticación más común en uso hoy en día es el binomio ‘nombre de usuario/contraseña’, y dado que la mayoría de las cuentas solo requieren una contraseña para el acceso, la mayoría de los sistemas utilizan la autenticación de un solo factor como herramienta de seguridad. Con la autenticación de dos factores, deberá proporcionar una contraseña y demostrar su identidad de alguna otra manera para obtener acceso.

A medida que las contraseñas se vuelven cada vez menos seguras, ya sea por pérdida de los datos o prácticas deficientes de los usuarios, cada vez más personas se mudan a la 2fa para asegurar sus vidas digitales, y muchos proveedores de servicios también están alentando o exigiendo el cambio.

¿Por qué usar autenticación de dos factores?
Nos sumergiremos en los detalles de cómo funcionan los diferentes métodos de autenticación de dos factores en un minuto, pero antes de ir ahí, primero respondamos el por qué debería usarse. Después de todo, en este momento, las contraseñas han sido el estándar para la seguridad de la información diaria durante una generación. Agregar un paso adicional solo dificulta el inicio de sesión en su cuenta. ¿Por qué molestarse?

Una de las razones principales, como observa Hacker Noon, es que las principales y más públicos robos de datos -que han puesto millones de pares de direcciones de correo electrónico/contraseñas a la venta en la web oscura- han hecho que muchas contraseñas sean menos seguras. La mayoría de las personas reutilizan contraseñas en múltiples sitios y cuentas; un hacker puede conectar pares de direcciones de correo electrónico/contraseñas conocidas en docenas de sitios, y ver cuál de ellos proporciona acceso. El 2017 Data Breach Investigations Report de Verizon descubrió que el 81% de los robos en las cuentas podrían atribuirse a contraseñas que se filtraron de esta manera, o contraseñas que eran tan débiles (por ejemplo, «passw0rd”) que eran trivialmente fáciles de adivinar.

Muchos sitios utilizan las llamadas preguntas de seguridad o autenticación basada en el conocimiento: «¿Cuál es el apellido de soltera de su madre?” o «¿Cuál era la ciudad donde nació?” como una especie de backup de contraseñas. A menudo, estas preguntas se plantean por encima de una contraseña si, por ejemplo, un usuario inicia sesión en un sitio desde una computadora nueva o una nueva conexión de red. Aun así, existen debilidades aquí: por ejemplo, con tanta información personal disponible públicamente para aquellos que saben dónde buscar, un hacker perseverante probablemente podría encontrar las respuestas a estas preguntas para cuentas comprometidas, o evitarlas mediante ataques de ingeniería social. Pero lo más importante, como veremos en un momento, no representan un verdadero segundo factor de seguridad y, por lo tanto, no pueden proporcionar la seguridad en capas de autenticación de dos factores.

¿Cómo funciona la autenticación de dos factores?
Para comprender cómo se ve la autenticación real de dos factores, necesitamos revisar el concepto de un factor. Por ejemplo, una contraseña se ajusta a la definición que dimos anteriormente, pero para nuestros propósitos queremos pensar en términos más abstractos: es algo que usted sabe. Esto explica por qué la autenticación basada en conocimiento no representa dos factores realmente; solo está respaldando algo que sabe con algo más que sabe. En esencia, la respuesta a su pregunta de seguridad es solo otra contraseña, y está sujeta a las mismas debilidades.

La autenticación 2fa verdadera combina su primer factor de autenticación, aún una contraseña (es decir, algo que sabe), en la gran mayoría de los casos, con un segundo factor de un tipo completamente diferente, como:

  • Algo que usted tiene
  • Algo que usted es
  • Algún lugar donde usted está

Los usuarios deberán proporcionar estos dos factores para obtener acceso a sus cuentas.

Ejemplos de autenticación de dos factores
¿Confundido sobre lo que esos factores podrían significar en la práctica? Echemos un vistazo a algunos ejemplos, comenzando con el factor «algo que tiene”. Consumer Reports tiene un buen panorama de las diferentes opciones involucradas aquí, algunas con las cuales ya puede estar familiarizado. Quizás el abuelito de este tipo de factor de seguridad -quizás el abuelito de la autenticación de dos factores en general- es el SecurID de RSA. Lanzado por primera vez en 1993, SecurID utilizó un pequeño dispositivo físico con una pequeña pantalla que mostraba números aleatorios que cambiaban periódicamente, generados en base a una «semilla” programada en la fábrica. En cualquier momento los usuarios necesitarían tanto una contraseña como el número de su token de SecurID para iniciar sesión en áreas sensibles.

Existen otros dispositivos que pueden asumir el papel de «algo que tiene” en una ecuación 2fa: existen smartcards y claves de seguridad físicas capaces de conectarse a las computadoras a través de un USB o Bluetooth. Google famosamente ha reducido los incidentes de seguridad después de exigirlos internamente. Estos dispositivos deben conectarse o emparejarse con la computadora que está utilizando para acceder a las cuentas protegidas por 2fa que los usan.

Pero proporcionar un dispositivo de seguridad especializado y separado a cada uno de sus usuarios, y esperar que lo lleven con ellos cada vez que quieran acceder a sus sistemas, es costoso y engorroso. Es por eso por lo que hoy en día, por lejos, las formas más comunes de 2fa en uso, el «algo que tiene”, es el dispositivo que ya lleva consigo todo el tiempo: su smartphone. En la versión más simple de esto, después de usar un nombre de usuario y una contraseña para iniciar sesión en un sitio, al usuario se le envía un código numérico como mensaje de texto a un número de teléfono que este proporcionó al configurar su cuenta. Dicho código es necesario para obtener acceso al sitio. En una versión algo más compleja, una página web ofrecerá un código QR que se escanea en una aplicación de smartphone correspondiente. A través de aplicaciones especializadas y una conexión Bluetooth o USB, los smartphones también pueden servir, como un token de seguridad en el sentido que discutimos anteriormente.

¿Qué pasa con el «algo que usted es”? Este factor nos lleva al ámbito de la biometría, la ciencia de las computadoras que establecen identidad al examinar a su persona física. Una contraseña debe estar emparejada con una huella digital o escaneo de retina o algún factor similar para acceder a los datos protegidos. Y así como los smartphones omnipresentes hicieron que el sabor de «algo que usted tiene” de 2fa sea mucho más fácil de promover, también lo hacen los lectores de huellas digitales y el software de reconocimiento facial en la mayoría de los teléfonos de gama alta. Estos ponen a la biometría -que parece ciencia ficción- al alcance del mundo con muchas implementaciones biométricas de 2fa que simplemente aprovechan las capacidades integradas que los teléfonos de los usuarios ya tienen. Existen dudas legítimas sobre la biometría: la preocupación de que las bases de datos de datos de huellas digitales puedan descifrarse tan fácilmente como las listas de contraseñas, por ejemplo, pero con los usuarios cada vez más cómodos abriendo sus teléfonos con el pulgar o la cara, este método probablemente será cada vez más popular.

El tercer tipo de autenticación que mencionamos, basado en la ubicación, no se usa ampliamente, aunque se han presentado varias propuestas experimentales. Algunos sitios implementan una versión débil de esto, al requerir otro método de autenticación si un usuario inicia sesión con una contraseña desde una ubicación inusual. A menudo, ésta es solo una pregunta de seguridad basada en el conocimiento, aunque a veces podría ser otro factor de seguridad que hemos discutido, como ingresar un código entregado vía mensaje de texto.

Autenticación multifactor
Un contexto como el descrito anteriormente -donde una contraseña, la ubicación de un usuario y un mensaje enviado al teléfono de su usuario se combinan para autenticar su identidad- en realidad implica tres factores. De hecho, la autenticación de dos factores es solo un subconjunto del concepto más amplio de autenticación de múltiples factores; puesto que, en teoría, podría apilar cualquier cantidad de aros necesarios a través de los cuales los usuarios tendrían que saltar para acceder a datos asegurados. En la práctica, dos son tantos factores con los que se encontraría un usuario común, aunque obviamente eso no puede ofrecer una protección total.

Habilitar la 2fa
Como consumidor, habilitar la autenticación de dos factores para todas sus cuentas puede ser un proceso desalentador. The Verge ha elaborado una lista detallada y actualizada con frecuencia de los principales proveedores de servicios, incluidos Apple y todos los principales sitios de redes sociales, junto con instrucciones sobre cómo habilitar 2fa para sus cuentas allí. Para que pueda tener una idea de algunos de los problemas relacionados con el proceso, vamos a proporcionarle recursos más específicos para dos sitios principales.

2fa para Google: Google se refiere a su autenticación de dos factores como «Verificación de dos pasos”, y seguir los pasos en la página de inicio de Google para el servicio le ayudará a comenzar. Una vez que haya configurado las cosas, la verificación en dos pasos asegurará su cuenta de Google y todos los servicios vinculados a ella; cuando inicie sesión en su cuenta de Google, recibirá un código por texto que también deberá ingresar, o puede solicitar una clave de Titan Security, en caso de que prefiera un token de seguridad física. Puede optar por desactivar la 2fa para ciertas computadoras confiables, si lo prefiere. Esto significa que no tendrá que lidiar constantemente con múltiples factores de seguridad cuando esté en casa, por ejemplo, pero cualquiera que inicie sesión de forma remota tendrá que hacer un trabajo adicional para demostrar que es usted.

La 2fa para Epic Games y Fortnite: Epic Games, creador del popular juego Fortnite, también le permite configurar su cuenta con autenticación de dos factores. Windows Central desglosa en particular las razones por las que esta es una cuenta que querrá proteger doblemente: muchos estafadores se dirigen a los jugadores más jóvenes del juego con enlaces tentadores que ofrecen V bucks -la moneda del juego de Fortnite- gratis. De hecho, se trata de estafas de phishing que tienen como objetivo obtener sus credenciales de inicio de sesión y obtener acceso a su cuenta -y cualquier información de pago que haya guardado para comprar V bucks-. Si es padre de niños a los que les gusta Fortnite, probablemente debería agregar la 2fa a su cuenta de Epic Games.

Activar la 2fa para Fortnite es simple; simplemente vaya a la página de configuración de su cuenta, haga clic en la pestaña Contraseña Y Seguridad, y en el encabezado Autenticación de Dos Factores, elija Activar Aplicación de Autenticador o Activar Autenticación de Correo Electrónico. Con la opción de autenticación de correo electrónico, recibirá un correo electrónico con un código de seguridad cada vez que inicie sesión en su cuenta; la aplicación de autenticación hace uso de aplicaciones comunes para este fin enumeradas en el sitio. Como una señal de lo entusiasta que es Epic Games para inscribirle en la 2fa, ofrecen un Emote especial para jugadores de Fortnite que activan la función.

Proveedores de autenticación de dos factores
Si está buscando implementar la 2fa o autenticación multifactor para sus propios usuarios corporativos, varios proveedores estarán encantados de ayudarle. Cuatro de los más importantes y comunes son:

¡Buena suerte cuando lleve a sus usuarios más allá de las contraseñas!

Josh Fruhlinger, CSOonline.com