domingo, 13 de octubre de 2013

Autenticación en dos pasos



Hoy os traigo un artículo acerca del concepto de Autenticación de Factores Múltiples, la cual estará muy de moda pronto, ya que Apple ha empezado a usar algo similar en sus nuevos modelos aunque no con demasiado éxito.
¿Qué es la autenticación de dos factores? (También llamada Autenticación en dos pasos o Two-factor authentication)
Es un proceso de autenticación que implica la presencia de tres factores reconocidos para identificar al usuario:
  • Algo que conoces - normalmente una contraseña o un PIN.
  • Algo que posees - una tarjeta inteligente (con TCI) que contiene datos criptográficos, un SecurID de RSA o cualquier dispositivo similar utilizado en este tipo de autenticaciones
  • Algo que sólo tú "eres" - huellas dactilares, el patrón de tu iris, el timbre de tu voz o similares. 

Este tipo de autenticación exige que cumplas dos de los tres factores antes listados antes de poder acceder al sistema o página web.

Así que incluso si alguien consigue tu contraseña (Algo que conoces) no podría entrar en tu cuenta a no ser que puedan obtener también alguno de los otros dos factores.

Si usáis Gmail, por ejemplo, seguro que os han medio-obligado o ofrecido insistentemente a agregar un número de teléfono o algún tipo de autenticación adicional a la contraseña añadiendo este tipo de seguridad de dos factores a vuestra cuenta. Lo mismo se ha hecho en otras redes sociales como Twitter, Facebook y para los colegas jugones: En Steam con SteamGuard o Blizzard con su Authenticator (Ejemplo de SecurID).
Otros ejemplos son los bancos que obligan a recibir un código vía SMS, introducir tu PIN, tu contraseña y 3 posiciones aleatorias de una ristra de 8-10 dígitos que se te mandó por carta. Y todo esto para realizar una transferencia bancaria de 1€... En mi opinión es matar una mosca a cañonazos pues si mañana pierdo mi tarjeta de crédito (El plástico) me pueden vaciar la cuenta con meter los numeritos y el CVC; y también hay que tener en cuenta que si mi operadora decide no darme servicio de SMS por un problema técnico, por ejemplo, no podría sacar ni mover dinero de mi propia cuenta de banco, un factor que ni yo ni el banco podemos controlar puede poner barreras e inconvenientes severos a esta "seguridad".

¿Aún con todo ello, debería usar este tipo de autenticación?
Yo creo que si es para un servicio estrictamente necesario (Cuando tu dinero está de por medio, por ejemplo) debería ser (y prácticamente es) obligatorio usarla pero para proteger tu cuenta de twitter y evitar que entre un hacker a publicar un twit de spam que no te va a afectar más que borrarlo y cambiar contraseña (Suponiendo que no seas cafre y uses la misma contraseña para todas tus cuentas de todos los servicios) pues tendrás que valorar por ejemplo, si los SMS van a estar disponibles 100% de las veces que necesites acceder a tu cuenta o si tener que usar tu correo electrónico cada vez que te autentiques te merece la pena.

Bien aplicada, la autenticación de dos factores incrementa tu seguridad muchísimo, blindando tus cuentas ante muchísimos problemas potenciales. Lamentablemente no está disponible siempre pero por lo general siempre que los pros superen a los cons recomiendo emplearla.


Fuente Sophos

No hay comentarios:

Publicar un comentario