La autenticación de dos factores (2FA) solía parecer algo reservado para películas de espías o thrillers políticos, el tipo de cosa que Ethan Hunt de Mission Impossible necesita usar para acceder a su tarea antes de que se autodestruya. Pero ese ya no es el caso. Prácticamente todos usamos 2FA a diario, ya sea 2FA biométrico en nuestros dispositivos (reconocimiento de huellas dactilares o facial) o las contraseñas comunes de un solo uso que se obtienen a través de SMS o una aplicación de autenticación.
Nuestras cuentas son demasiado valiosas para que los hackers las ignoren. Incluso una cuenta de correo electrónico comprometida puede ser un trampolín para obtener acceso a cuentas financieras y robarle el dinero que tanto le costó ganar mientras crea un escenario de pesadilla para usted. Aunque las películas muestran a un pirata informático con capucha con los dedos volando furiosamente sobre el teclado, la realidad es que, según el Informe de Investigaciones de Violación de Datos de Verizon de 2022-2023, la abrumadora mayoría de las violaciones de seguridad (85%) involucran un elemento humano. 2FA es la mejor forma de combatir este tipo de ataque.
- Los mejores servicios de VPN2021-2022
- La aplicación Norton Antivirus ahora le permite ganar criptomonedas: esto es lo que puede extraer
- Las mejores ofertas de portátiles en junio de2021-2022
Ya sea que crea que esto es una preocupación real para usted o no, muchas empresas se están mudando a 2FA como una medida de seguridad requerida, siendo Google una de las más recientes en anunciar que requerirá 2FA en un futuro cercano.
Recientemente, cubrimos por qué necesita dejar de usar su número de teléfono para la autenticación de dos factores, si se lo perdió y no está seguro de por qué es una mala idea, léalo y regrese, ahora le mostraremos cómo hacer 2FA de la manera correcta.
¿Qué es la autenticación de dos factores?
2FA es la forma más conocida y ampliamente utilizada de autenticación multifactor (MFA), que, como su nombre indica, se basa en múltiples factores para verificar su identidad. Un ejemplo clásico es obtener dinero de un cajero automático, necesita la tarjeta y su PIN para acceder a su cuenta.
Ese ejemplo incluye dos de las tres categorías de MFA, "lo que tienes" (un objeto físico) y "lo que sabes" (una contraseña o pregunta de seguridad). La tercera opción es "lo que eres", es decir, un método biométrico como un escáner de huellas dactilares o reconocimiento facial. A diferencia incluso de una contraseña increíblemente compleja, esto elimina la posibilidad de una violación de su cuenta sin acceso físico a usted.
En el anuncio 2FA mencionado anteriormente de Google, se refirió a las contraseñas como "la mayor amenaza para su seguridad en línea". Por ahora, las contraseñas siguen siendo una parte importante del proceso 2FA para la mayoría de las personas. Sin embargo, el punto es que son el punto débil de la cadena que necesita ser reforzado por al menos un factor adicional. Así que echemos un vistazo a las mejores opciones para 2FA.
Autenticación de dos factores basada en aplicaciones
Como con casi todo, existen soluciones de aplicaciones para lidiar con 2FA, estas se llaman aplicaciones de autenticación. Hay docenas en el mercado, pero algunas que recomendaría son Authy, Microsoft Authenticator, LastPass y 1Password. Google Authenticator es otra opción popular, pero no me gusta que no requiera contraseña ni inicio de sesión biométrico, es una brecha de seguridad potencial en un proceso que intenta eliminarlos.
Authy es una aplicación de autenticación dedicada y se utiliza expresamente para el inicio de sesión 2FA. Microsoft Authenticator, LastPass y 1Password son administradores de contraseñas que han incorporado un componente de autenticación. Si necesita un administrador de contraseñas o ya usa uno de estos, tomaría esta ruta, ya que hace que el proceso 2FA sea lo más sencillo posible.
Una vez que elija su aplicación de autenticación y la tenga instalada, puede comenzar a configurar 2FA para sus cuentas. Esta será la parte más tediosa del proceso, ya que implica visitar cualquier servicio o sitio que utilice que ofrezca soporte 2FA uno por uno. Sospecho que este es el paso que desalienta a la mayoría de las personas al usar 2FA, pero en última instancia, vale la pena por su seguridad en línea. Y una vez que tiene 2FA en funcionamiento, no es la molestia que algunos creen que es.
Durante la configuración inicial, escaneará un código QR o, en algunos casos, ingresará un código y luego ese servicio se guardará en su aplicación de autenticación. Verá sus cuentas en la lista con un conjunto de seis dígitos junto a ellas y un temporizador en la cuenta regresiva. Cada 30 segundos se genera un nuevo código aleatorio de seis dígitos para cada uno. Estas son contraseñas de un solo uso (TOTP) basadas en el tiempo, similares a las que obtendría por SMS o correo electrónico, pero no requieren una conexión a Internet y, fundamentalmente, no pueden ser interceptadas por nadie.
Ahora, en la mayoría de los casos, no necesitará ingresar su código TOTP cada vez que inicie sesión, a menos que desee ese nivel de seguridad. Por lo general, solo se requiere que lo use cuando está iniciando sesión en un nuevo dispositivo o después de que haya transcurrido un período de tiempo establecido, 30 días es común, pero los sitios y servicios variarán en esto.
Autenticación de dos factores basada en hardware
Ahora bien, si bien definitivamente hay un factor de conveniencia con los autenticadores móviles. En un caso de estudio de dos años con Google, una solución basada en hardware era cuatro veces más rápida, menos propensa a requerir soporte y más segura. Una solución de hardware MFA / 2FA se parece mucho a una unidad flash USB. Vienen en diferentes formas y tamaños que ofrecen soporte para cualquiera de sus dispositivos con USB Type-A, USB Type-C y Lightning. Algunas opciones modernas también ofrecerán soporte inalámbrico a través de NFC o Bluetooth.
Con estas llaves de seguridad, simplemente conéctelas a su dispositivo o deslícelas sobre el chip NFC en su dispositivo y eso sirve como su método 2FA. Esta es la categoría de MFA "lo que tienes". Es fácil ver cómo va a ser más rápido que tener que abrir su aplicación de autenticación, encontrar el código TOTP relevante y luego ingresarlo antes de que se reinicie.
Al igual que las aplicaciones de autenticación, hay una cantidad considerable de opciones cuando se trata de hardware 2FA. El más destacado (y con el que acudió Google para sus más de 50.000 empleados) es YubiKey. Google tiene su Titan Security Key y Thetis es otro jugador fuerte en el mercado, pero todas estas opciones cuentan con la certificación FIDO U2F, un estándar abierto creado por Google y Yubico (la compañía detrás de YubiKey) en 2007 para promover una amplia adopción de sistemas seguros. autenticación.
El proceso de configuración básico es esencialmente idéntico al método del autenticador móvil, deberá ir a cada servicio y seguir las instrucciones para configurar 2FA. En lugar de escanear un código QR y obtener los códigos TOTP, completará o deslizará su clave de seguridad cuando se le solicite y luego se registrará en ese servicio. Cuando se le solicite en el futuro, solo tendrá que volver a conectar o deslizar su llave de seguridad y tocar el contacto en ella. Si no está seguro de qué servicios y aplicaciones utiliza que admiten una llave de seguridad, puede consultar este práctico catálogo de Yubico.
La preocupación más común con la llave de seguridad es qué hacer si la pierde o se rompe. Hay un par de opciones ahí. La que emplea Google y Yubico recomienda es mantener dos llaves de seguridad, una que se almacena de forma segura y otra que usted guarda. Con la excepción de algunas de las pequeñas llaves de seguridad que deben mantenerse conectadas permanentemente en dispositivos que se encuentran en un lugar seguro, todas las llaves de seguridad tienen un orificio para permitir que se adjunten a su llavero.
Esto significa que cada vez que se registra para 2FA en un nuevo servicio, debe ejecutar ambas claves de seguridad, ya que se registra en el hardware físico y no en una cuenta, pero nuevamente después de la configuración inicial, esto no debería ser tan frecuente. asunto. Estos no son terriblemente caros con el YubiKey 5 NFC, por ejemplo, por $ 45 y la llave de seguridad Thetis FIDO2 BLE disponible por menos de $ 30 y no debería tener que reemplazarlos durante años, por lo que no es una mala solución.
La alternativa es que debe conservar los códigos de seguridad proporcionados por todos los sitios y servicios en los que usa 2FA. Estos pueden imprimirse y almacenarse en una ubicación segura o puede cifrar y almacenar los archivos de texto en un lugar seguro, ya sea en una carpeta cifrada y bloqueada con contraseña o en una unidad flash que se almacene de forma segura.
Visión general
Independientemente de si opta por una solución 2FA basada en aplicaciones o en hardware, no hay duda de que la configuración inicial es uno de los mayores obstáculos dado el gran volumen de sitios, servicios y aplicaciones que muchos de nosotros usamos. Me resultó más fácil hacer de 3 a 5 al día hasta que los revisé todos en lugar de ir a una sola sesión de registro de maratón.
Sin embargo, una vez que haya terminado con ese proceso inicial, es un paso adicional bastante sencillo que le ofrece mucha más seguridad que una contraseña sola o una solución 2FA basada en SMS o correo electrónico. Puede irritarse un poco por el tiempo adicional que de vez en cuando tiene que ingresar su código o agregar su llave de seguridad, pero palidece en comparación con el dolor de cabeza de tener que lidiar con alguien que le roba sus credenciales y potencialmente le da un vuelco a su vida mientras lo intenta. para recuperar el control de sus cuentas.
Con empresas como PayPal, Google y otras que se mudan a 2FA como requisito, necesitará una solución 2FA. No se conforme con las soluciones basadas en SMS o correo electrónico, simplemente se eluden con demasiada facilidad. Tanto las aplicaciones de autenticación como las claves de seguridad de hardware ofrecen una sólida seguridad 2FA real y, después de ese proceso de configuración inicial, se convierte rápidamente en una parte integral de sus hábitos de seguridad en línea.
