Como activar el doble factor de autenticación
1. ¿Cómo de segura puede ser tu contraseña?
Imagina una contraseña como esta:
$BjG46ebD3@GfJ86u/y%C3)i
¿Qué tan segura es?
Es muy segura, prácticamente es imposible de crackear mediante un ataque de fuerza bruta, lo que requería miles de millones de años descifrarla.
Como explicamos en nuestro artículo anterior: such a password, longitud de 24 caracteres, tiene una entropía de 157 bit, aun así son más del máximo recomendado que es 128 bit.
Pero aún así, esto podría no ser suficiente… Si esta fuera descubierta, por ejemplo por negligencia o por un error del usuario, quien puede haberla filtrado al caer en un phishing de correo.
O el pudo haberlo escrito en un post-it y dejarlo a simple vista… cosa que pasa muy frecuentemente.
Por lo tanto, nosotros no podemos excluir que la contraseña – tan segura como es – puede haber sido robada o descubierta.
La autenticación basándonos únicamente en la contraseña es intrínsecamente débil, cualquiera contraseña es, la seguridad de una cuenta depende de un solo factor,es decir, la contraseña por sí sola.
En la ciberseguridad, la defensa debe ser realizada en capas: por esta razón hablamos sobre “seguridad por capas”, para evitar lo que el famoso Kevin Mitnick llama el “Efecto M&Ms”.
M&Ms son aquellas populares golosinas con una capa de azúcar: duro por fuera pero blando por el interior! Una vez que la cáscara esté rota, nosotros estamos en el interior de la M&M.
Si llevamos esto al ámbito de la ciberseguridad: es importante tener otra segunda capa defensiva, en caso que la primera fracase. Este concepto – el cual es fundamental – será aplicado también a las contraseñas y, más extensamente, a todo el proceso de autenticación..
Para acceder a todos los tipos de sistemas digitales (portátiles, tarjetas de crédito, sitios web, etc.) Primero nos pedirá que introduzcamos nuestro nombre de usuario.
Luego, tendremos que demostrar que realmente somos nosotros: Esta es la fase de “autenticación” y puede ocurrir de tres de maneras:
» Conocimiento: “Algo que tu sabes”, por ejemplo una contraseña o un PIN;
» Propiedad: “Algo que tu tienes”, como un smartphone o un token de seguridad (esas pequeñas “llaves” que los bancos usan para distribuir y generar codigo de 6 caracteres o un Fido token);
» Inherente: “Algo que tú eres”, como tu huella digital, reconocimiento facial o de iris, o otras características biométricas.
En general, sólo requiere un solo factor (usualmente una contraseña). Con el fin de incrementar el nivel de seguridad, “autenticación fuerte” las técnicas han sido introducir dos – o más – factores de autenticación.
También llamados 2FA o MFA («Autenticación Multifactor”), hoy en día es el sistema de protección más seguro que podemos usar, debemos usarlo.
Hablamos de 2FA cuando usamos únicamente dos factores y 3FA cuando se requiere tres factores(es menos común, esto es un ejemplo utilizando en 3rd nivel el SPID).
La condición que permite definirlo como “doble factor de autenticación” se verifica sólo cuando los dos factores tienen diferentes orígenes: en otras palabras, si por ejemplo tu usas “una cosa que tu sabes” + “una cosa que tu tienes”.
Mientras que una autenticación basada en dos contraseñas no puede – ser considerada 2FA (debido a que son factores con el mismo origen).
>> FlashStart lo protege de una amplia gama de amenazas, incluido el malware y los intentos de phishing ? Comience su prueba gratuita o solicite una cotizaciòn
2. ¿Cómo funciona MFA?
MFA requiere al menos dos de los tres factores listados arriba: después de que tu escribas la contraseña de tu cuenta (suele representar el primer factor), se le pedirá que ingrese el segundo factor, que en la mayoría de los casos suele ser un PIN o un código obtenido a través de un smartphone (como un mensaje de texto o mediante una aplicación dedicada a los 2FA) o a través de un token físico.
A diferencia de las contraseñas, este segundo código no puede ser descifrado debido a que es generado por un algoritmo y dura muy poco tiempo (normalmente 30 segundos). Por esta razón también es llamado OTP: “contraseña de un solo uso”.
El segundo factor también puede ser biométrico: “algo que tú eres”. Un ejemplo de esto lo encontramos en las diferentes aplicaciones bancarias para los smartphones: para abrir la aplicación, y llevar a cabo alguna operaciones (como una transferencia bancaria), nosotros requerimos de identificarnos a nosotros mismos en cuestión de segundos usando nuestra huella digital o el reconocimiento facial.
3. ¿Cómo se puede obtener el segundo factor de autenticación?
Hay técnicamente cuatro formas:
» A través de un mensaje de texto que recibimos: esta es una solución muy generalizada, pero al menos es una forma segura, porque por ahora las vulnerabilidades del protocolo de Sistema de Señalización No. 7 (SS7) como bien sabemos. SS7 es un protocolo muy antiguo (nació en los 70s) y no es muy seguro.
Por otra parte, hay otro riesgo aún peor: podrías terminar en un fraude conocido como “Suplantación de tarjeta SIM”, de ahí la clonación de la nuestra tarjeta SIM por un individuo malintencionado quien – de este modo – recibiría el mensaje de texto con el código numérico para la segunda autenticación en vez de nosotros.
El NIST en SP 800-63B “Digital Identity Guidelines” en el capítulo 5.1.3 – Dispositivos fuera de banda – desaprueba el uso de mensajes de texto para recibir el segundo factor OTP, exactamente para el riesgo de suplantación de SIM.
Y finalmente, algo que no podemos pasar por alto: este sistema nos obliga a introducir nuestro número de teléfono en la red social o página web: esto podría no ser apreciado en términos de privacidad.
» Uso de aplicaciones dedicadas al 2FA genera un código de 6 números el cual tiene que ser introducido en el navegador: cuando el navegador tiene disponible esta opción, sugiero tenerlo disponible, ya que el es método más práctico, no requiere cobertura en el teléfono móvil y bastante seguro. Las aplicaciones más comunes que puedes usar – las cuales son todas gratis – son Authy, Google Authenticator, Microsoft Authenticator. Algunos gestores de contraseñas, como por ejemplo LastPass y 1Password, pero no solo ellos, implementan este servicio. La autenticación a través de aplicaciones es muy popular ahora mismo y, en los últimos años, cada vez hay más y más páginas web que enumera las posibles opciones.
» Con un hardware token: es una opción muy segura pero no es muy común. Todas las cuentas que tengan soporte para esta función están conectadas a un dispositivo de acceso físico similar a un USB, realizado de acuerdo al U2F Security Key Standard. Este es un protocolo de autenticación 2FA abierto desarrollado por Google y Yubico en 2013 y que todavía es administrado y regulado por FIDO Alliance (fundado en 2012).
U2F Security Keys son producidos por Google como Titan Security Keys, por Feitian y especialmente por Yubico, con los precios los precios a partir de los 25€ en los modelos básicos y pueden llegar hasta los 80-90€ (picture 3 shows the Yubico range).
Es un sistema muy seguro el cual puede ser usado por las empresas para autenticarse en los portátiles o servicios de la compañía, con una notable mejora en la seguridad. Definitivamente no es el más práctico y tampoco el más barato: además de tener un alto costo, no todos los servicios lo soportan. Es más, requiere conexión directa con el portátil para la autenticación: en caso de una PC esto ocurre a través del puerto USB. Pero en caso de un smartphone U2F Security Keys debe estar equipado con un NFC (Comunicación de campo cercanos) o Bluetooth o, en caso de iPhones, deben tener un puerto Lightning, con un costo mucho mayor. y, por último pero no menos importante, debemos de tener siempre con nosotros nuestra llave de seguridad para realizar la autenticación, tenemos que prestar atención para no perderla. Por esta razón los fabricantes aconsejan crear una copia extra.
» Con una notificación automática: en este caso, el doble factor de autenticación se lleva a cabo mediante una notificación desde la aplicación vinculada al servicio en uso, pero instalada en otro dispositivo. Este sistema se usa principalmente en bancos por internet, a través de aplicaciones proporcionadas por cada banco e instaladas en tu smartphone. Es un modo seguro y fácil: después de escribir tu nombre de usuario y contraseña, el individuo recibirá una notificación automática en su smartphone, el cual le pedirá que autorice el acceso a través de la aplicación de su banco. A menudo, esta autorización se realiza de forma muy rápida mediante una autorización biométrica: huella digital, reconocimiento facial u otros.
4. ¿Cómo activar el doble factor de autenticación?
El método de activación es más o menos igual siempre: después de registrarte en la página web, accedes a “Ajustes” (el nombre puede variar un poco, pero siempre va a ser la página donde, por ejemplo, podamos cambiar la contraseña).
Elige activar 2FA y la página nos guiará a través de ella en el procedimiento y nos preguntará cómo deseamos recibir el código: el método más generalizado por todos los sitios web (¡pero no el recomendado!) es mediante un mensaje de texto, y en caso que indiquemos un smartphone de “confianza” al cual se pueda enviar el código.
Si eliges esta opción (que, como se mencionó, no es la mejor), le sugerimos que siempre introduzcas dos o más números de teléfono, para una mayor seguridad. Más tarde, con cada texto se nos pedirá que elijamos a qué dispositivo deseamos recibir el código.
Casi todas las páginas web te permiten elegir, como alternativa al mensaje de texto, usar las aplicaciones capaces de generar un código temporal (OTP). Como dijimos, si esta opción está disponible, Es la que deberíamos prefería y muy fácil de usar y totalmente gratis: tu entras al sitio a través de un código QR que aparece en la pantalla de tu PC y la cual nosotros podemos escanearlo con la cámara de nuestros smartphone.
Tal opción se llama “Enrollment” y realiza el intercambio de los cifrados, una única clave entre la página web y la aplicación, la cual de esta manera estarán sincronizadas.
Cada una de estas aplicaciones te permite guardar todas tus OTPs de todos los sitios web donde tengamos habilitado el 2FA.
Cada vez que iniciemos sesión, además del nombre de usuario y contraseña, nos pedirá que introduzcas un código OTP de 6 cifras el cual es mostrado en la aplicación y se genera uno nuevamente cada 30 segundo.
Existe – en casi todos los sitios web – una opción la cual nos permite no tener que hacer uso de códigos OTP en los siguientes inicios de sesión: esta opción usualmente aparece como “este sitio web es confiable” (o algo similar) y solo puede estar activado una vez.
En la práctica, el doble factor de autenticación tiene como objetivo evitar el acceso a nuestros portátiles o diferentes dispositivos, podemos indicar a la página web que reconozca nuestros dispositivos más “habituales” y así no sería necesario agregar el segundo factor de autenticación.
5. ¿Qué servicios ofrece el doble factor de autenticación?
A excepción de los servicios de bancos por Internet, donde 2FA es obligatorio debido a la directiva Europea 2015/2366 (conocida como PSD2 y en Italia entró en vigor el 14 de Septiembre de 2019), y de algunos otros servicios como el SPID italiano el cual lo requiere, en todos las otras pagina web no estamos obligados a usar el doble factor de autenticación.
Es una opción opcional, pero que recomendamos fuertemente, al menos en servicios importantes como, por ejemplo, Amazon, Apple ID (iCloud), Dropbox, Evernote, Facebook, Google, LinkedIn, Microsoft, PayPal, Twitter, Yahoo!, WordPress. ¡Y por supuesto para todas las cuentas comerciales!
También hay otros muchos sitios web que lo ofrecen, puedes ver una lista completa (con las opciones disponibles para cada página web) en este enlace.
6. ¿Cual es el futuro del doble factor de autenticación?
De acuerdo a un Juniper Research report, el número de usuarios de smartphone que usarán sistemas de autenticación biométricos (huella digital, reconocimiento facial – voz – iris, etc.) crecerá más de un 250% en los próximos 5 años.
Según el informe de la autora, James Moar
Secondo l’autore del report James Moar:
“The key battle now will be to convince users, particularly those in Europe and North America, that these methods are just as secure as traditional hardware-based security.”
En 2018, Google comunicó que solo el 10% de las cuentas activas hizo uso de esta medida de seguridad.
Quizás por esta razón el mismo Google anunció en Octubre del 2021 que se activará el doble factor de autenticación como configuración por defecto. Inicialmente, esto será únicamente para creadores inscritos en el programa de socios (de ahí los que monetizan a través de la plataforma de Youtube), pero esperamos que esto se extienda a los demás usuarios.
>> Puede instalar FlashStart fácilmente en todo tipo de enrutadores y puntos finales y, con solo unos pocos pasos, disfrutar de una navegación segura ? Comience su prueba gratuita o solicite una cotizaciòn
7. El autor
Giorgio Sbaraglia, ingeniero, es consultor y formador en temas de ciberseguridad y privacidad.
Imparte cursos de formación sobre estos temas para numerosas empresas italianas importantes, incluidas ABIFormazione y la 24Ore Business School.
Es el coordinador científico del Máster “Ciberseguridad y Protección de Datos” de la escuela de negocios 24Ore.
Es miembro del Comité Científico CLUSIT (Asociación Italiana de Ciberseguridad) y Innovation Manager certificado por RINA
Tiene puestos de DPO (Delegado de Protección de Datos) en empresas y Colegios Profesionales.
Es autor de los siguientes libros:
» “GDPR kit di sopravvivenza” – “Kit de supervivencia GDPR” (Editado por goWare),
» “Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” – “Kit de supervivencia de ciberseguridad. La web es un lugar peligroso. ¡Debemos defendernos!” (Editado por goWare),
» “iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” – “iPhone Cómo utilizarlo en todo su potencial. Descubramos juntos todas las funciones y las mejores aplicaciones” (Editado por goWare).
Colabora con CYBERSECURITY360 una revista online especializada del grupo Digital360 centrada en la Ciberseguridad.
También escribe para la revista ICT Security, para Agenda Digitale y para la revista CLASS.
En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.