BAQUIA

Autenticación basada en dos factores: Imprescindible para el acceso a los servicios en la nube

Yahoo, segundo servicio de correo más importante del mundo después de Gmail, denunció haber sufrido un intento coordinado de robo con el presunto objetivo de obtener un listado de cuentas y contraseñas de los usuarios de correo electrónico. Las investigaciones apuntan a que la lista fue obtenida a partir de una base de datos de terceros, y no directamente de los servidores de Yahoo.
La empresa no ha publicado el número de las cuentas pirateadas; pero ha restaurado las contraseñas de los afectados mediante una segunda verificación de acceso.

La autenticación basada en dos factores, también llamada verificación en dos pasos, en un sistema diseñado para otorgar una capa extra de protección en el acceso a un sistema o servicio mediante la introducción de dos medios de identificación, que pueden ser dos de estos tres:
Algo que sabes: Normalmente una contraseña
Algo que tienes: Una tarjeta inteligente, o un token, o un código recibido por SMS en el teléfono móvil, o un código de un solo uso (OTP) obtenido de aplicaciones autenticador como Google Authenticator
Algo que es: Huella dactilar, el iris, la voz

Por tanto, si alguien consigue un listado de contraseñas, no será capaz de acceder a las cuentas a menos que puedan aportar también alguno de los otros dos factores.

Desafortunadamente no todos los servicios en la nube disponen de autenticación basada en dos factores; pero muchos de ellos lo tienen incorporado desde hace algún tiempo, aunque su uso no esté demasiado extendido, sobre todo debido a la complejidad del procedimiento para ponerlo en marcha.

Estos son algunos de los servicios que lo ofrecen:
Gmail: Ofrece tres opciones de segundo factor, la primera es mediante el envío de un código via SMS al teléfono móvil; también se puede obtener una contraseña de un sólo uso proporcionada mediante Google Authenticator; y por último empleando uno de los elementos de una lista de códigos autorizados. El segundo factor puede ser guardado durante 30 dias para que no haya que introducirlo en cada sesión.

Yahoo: Dispone de un segundo factor que envía mediante SMS al teléfono móvil cada vez que te autenticas en un nuevo equipo/dispositivo.

Evernote: Los usuarios de plan gratuíto pueden obtener el segundo factor mediante Google Authenticator, mientras que a los usuarios del plan Premium se les facilita además por SMS. El segundo factor puede ser recordado durante 30 dias.
Facebook: A la autenticación de segundo factor lo denominan “Aprobación de inicio de sesión”. Consiste en el envío de un código de 6 digitos mediante SMS que se debe introducir en cada nuevo equipo/dispositivo; aunque se activa con Google Authenticator, o a través de un generador de códigos del propio Facebook. Además permite gestionar los dispositivos autorizados mediante la eliminación de los mismos en caso de pérdida o robo.
Twitter: Consiste en el envío de un código de 6 digitos mediante SMS que se debe introducir en cada nuevo equipo/dispositivo. Parece ser que no está aún operativo en España.
PayPal: El segundo factor se proporciona mediante un código de 6 digitos que se obtiene a través de un SMS. Este código se debe introducir en cada nuevo equipo/dispositivo.
Amazon: Facilita la verificación en dos pasos a través de Google Authenticator, o Windows Authenticator
Apple: Usa un segundo factor de 4 dígitos enviado mediante SMS para la validación de nuevos equipos.
Dropbox: Implementa el segundo factor mediante un código de 6 dígitos enviados por SMS para aprobar nuevos dispositivos; pero también ofrece la posibilidad de usar autenticadores como Google Authenticator, Windows Authenitcator, Amazon AWS; y además la generación del código de seguridad mediante la herramienta OATH de Linux.
Linkedin:Dispone de un segundo factor que envía mediante SMS al teléfono móvil cada vez que te autenticas en un nuevo equipo/dispositivo.

En resumen, podemos decir que las soluciones implementadas por los distintos servicios para reforzar la seguridad se centran sobre todo en proteger la sesión, o proteger el acceso desde otros dispositivos. Desde el punto de vista de la seguridad, lo más fiable es proteger la sesión obligando al usuario a meter el segundo factor en cada sesión; pero esto resulta bastante incómodo, y puede llevar al usuario a dejar la sesión abierta por comodidad, lo que es más inseguro todavía. Por ello algunos servicios permiten guardar el código de verificación 30 días.                                                                                                                                                                            Por otro lado, la aprobación de inicio de sesión , ofrece la seguridad de que sólo los dispositivos autorizados son capaces de abrir la sesión; y por tanto mitiga el riesgo de suplantación de identidad desde cualquier otro equipo. Si el usuario guarda el segundo factor en el equipo no le volverá a preguntar. Esta opción resulta más cómoda para el usuario, manteniendo un equilibrio entre seguridad y usabilidad. 


Compartir en :


Noticias relacionadas




Comentarios