Si eres de los que se quejan por lo incómodo que puede ser iniciar sesión con el método de los dos pasos, vete preparando porque esto puede ser sólo el principio. Google planea reforzar el proceso de identificación en sus cuentas de usuario de aquí al 2018, y lo hará con métodos de autenticación más estrictos. En palabras de la misma Google, no les importa que la identificación sea más pesada si eso aumenta drásticamente la seguridad.

Esos métodos pasarían por códigos generados por nuestros teléfonos móviles, que servirían para autorizar una solicitud de inicio de sesión; y por pedir un inicio de sesión repetido si el usuario intenta hacer alguna operación delicada e importante como transferir una gran cantidad de dinero.

La compañía se beneficiaría del hecho que los usuarios tienen más de un dispositivo identificado con una cuenta de usuario encima (como mínimo un ordenador y un smartphone), y podría pedir la confirmación de una acción hecha desde un terminal desde otro. Por ejemplo: si queremos pagar 400 euros usando Google Wallet desde nuestro ordenador, el sistema nos pediría la contraseña y después nos exigiría que autorizásemos la compra desde el móvil.

A todo esto vendrían ligados los avances en autenticación de las plataformas móviles, como los gestos al desbloquear móviles Android o los basados en imágenes que hay en Windows Phone; y los chips NFC para verificar que dos dispositivos están uno al lado de otro. El documento con el que Google ha presentado esta iniciativa también menciona los lectores de huella dactilar, componentes que podrían estar integrados en las pantallas a medio plazo.

Básicamente, Google comprende que la gran mudanza a la nube que estamos viviendo tiene que venir ligada a unas medidas de seguridad mucho más reforzadas que una simple contraseña para iniciar sesión. A medida que pasen los años iremos viendo todas estas mejoras.

Vía | ZDNet Imagen | totallygenius

La verificación de dos pasos es una medida de seguridad que cada vez va ganando en adopción por parte de empresas de todo tipo y tamaño. En su momento ya hablamos "a fondo de ella":https://www.genbeta.com/correo/que-es-la-verificacion-en-dos-pasos-de-gmail-y-por-que-es-importante-activarla en el caso de Gmail, pero también la podemos encontrar en otras compañías más pequeñas como "WordPress.com":https://www.genbeta.com/bitacoras/wordpress-com-activa-la-verificacion-en-dos-pasos o "App.net":https://www.genbeta.com/web/app-net-anade-autenticacion-en-dos-pasos. Y dentro de poco, también la podremos encontrar en Microsoft.

El sitio "liveside.net":http://www.liveside.net/2013/04/09/exclusive-microsoft-account-to-get-two-factor-authentication-soon/ ha publicado una serie de capturas de pantalla de esta funcionalidad en acción, a pesar de que en el sitio de los de Redmond todavía no está operativa (al menos, para todo el mundo), por lo que a todas luces parece que se trata de una filtración. En ellas, se pueden ver los pasos a seguir para la verificación.

Por lo que se puede ver en las capturas, cuando la lancen habrá aplicaciones para iOS, Android y Blackberry. Para Windows Phone ya está "disponible en su tienda":http://www.windowsphone.com/en-us/store/app/authenticator/e7994dbc-2336-4950-91ba-ca22d653759b. Sin embargo, parece que la función cuenta actualmente con una limitación: no funciona con cuentas vinculadas, con lo que hay primero que desvincularlas antes de usarla.

Por ahora, se desconoce cuando entrará en funcionamiento esta verificación. Sin embargo, y basándome únicamente en las capturas, no me extrañaría que contásemos con ella dentro de muy poco tiempo. Aún así, es una buena noticia que esté en el horizonte. Cada empresa que se une a esta tendencia de autenticación contribuye a presionar a las demás, al menos a las más importantes, a adoptarla también y, por lo tanto, a ayudarnos a mejorar nuestra seguridad.

Vía y más información | "Xataka Windows":https://www.xatakawindows.com/ecosistema-microsoft/microsoft-tambien-adoptara-la-verificacion-en-dos-pasos | "Liveside":http://www.liveside.net/2013/04/09/exclusive-microsoft-account-to-get-two-factor-authentication-soon/

Cada vez más servicios web se van apuntando a la verificación en dos pasos. Como ya sabréis, este metodo requiere que, además de nuestro usuario y contraseña, metamos un código generado automáticamente en nuestro teléfono para así verificar que somos nosotros. El último en incluirlo ha sido Wordpress.com.

Para activarlo en nuestra cuenta tenemos que ir a la pestaña de "Seguridad", elegir nuestro modelo de teléfono, descargar la aplicación y escanear el código que nos aparecerá. Una vez hecho eso, Wordpress.com nos pedirá el código de la aplicación cada vez que queramos entrar.

Una característica muy interesante, más aún teniendo en cuenta que hay mucha gente para que su blog en Wordpress es realmente importante. El único punto malo es que sólo funciona en Wordpress.com. Si tenéis un blog de Wordpress alojado por vosotros mismos no podéis usar esta característica, y habrá que esperar hasta que lo implementen en alguna actualización del sofware.

Vía | Wordpress

Los desarrolladores de App.net no paran de trabajar. Pocos días después de lanzar su servicio como _freemium_, han sacado otra característica muy interesante: autenticación de dos pasos.

Este ajuste obliga a introducir, además de tu contraseña, un código generado por tu móvil para poder entrar en el servicio. El nivel de seguridad que da este modo es muy grande, ya que aunque alguien consiga tu contraseña no podrá entrar en tu cuenta.

Junto con la autenticación de dos pasos han sacado las contraseñas de un solo uso para aplicaciones. De esta forma, cuando una aplicación te pida tu contraseña de App.net, puedes dar una generada especialmente para esa aplicación.

Lo que más me llama la atención de esto no es que App.net lo haya incluido: habían dado pistas hace poco y están añadiendo nuevas características rápidamente. No, lo que me llama la atención es cómo, en un servicio llevado por unas pocas personas y con más bien poca relevancia se puede implementar tan rápido la autenticación en dos pasos, mientras que en Twitter todavía no lo ha preparado. Y eso a pesar de que ha tenido fallos de seguridad muy graves y las empresas y personalidades que lo usan para comunicarse están demandando más seguridad para proteger sus cuentas (que, al fin y al cabo, son su imagen pública).

Hace casi dos años decía que Twitter se había dormido. Creo que me equivocaba. No es que se haya dormido, es que es así. Un servicio que vive del efecto red, sin tratar de ofrecer más valor que el que dan los propios usuarios.

Y lo peor no es sólo que Twitter no se mueva, sino que encima paran a los desarrolladores que quieran hacer aplicaciones en torno a Twitter con las restricciones de la API. No creo que el camino que está tomando Twitter le vaya a perjudicar de algún modo ni que App.net le vaya a quitar el puesto (como mucho, lo haría entre los círculos más técnicos), pero es algo triste ver en qué se está quedando un servicio con tanto potencial.

Vía | App.net

A raíz del "ataque que sufrieron":https://www.genbeta.com/redes-sociales/los-datos-de-250-000-usuarios-de-twitter-comprometidos la semana pasada y que pudo haber comprometido al menos 250.000 cuentas, parece que en Twitter planean introducir un sistema de autenticación en dos pasos como ya cuentan otros servicios. O así al menos afirman desde "The Guardian":http://www.guardian.co.uk/technology/2013/feb/04/twitter-authentication-prevent-account-hacking, basándose en una oferta de trabajo publicada por el servicio de microblogging.

La oferta en concreto busca ingenieros de software para desarrollar, entre otras cosas "características de seguridad de cara al usuario, como la autenticación de factores múltiples". Como sabéis, este sistema es usado por muchas compañías, "como por ejemplo Google":https://www.genbeta.com/correo/que-es-la-verificacion-en-dos-pasos-de-gmail-y-por-que-es-importante-activarla, y supone una capa extra de seguridad.

Ante esta posibilidad, The Guardian recoge la opinión de Graham Cluley, consultor senior de la empresa de seguridad Sophos, que señala que podría significar una excelente vía de ingresos para Twitter, ofreciendo la verificación a empresas y cuentas de marcas. Aunque por el momento no hay nada que indique que vaya ser así y tan sólo es la opinión de ese consultor, tampoco creo que se atrevieran a hacer algo así. Ya bastante mala prensa han tenido con los cambios en su API como para ofrecer más seguridad solamente a quien se la pueda pagar.

Dada la popularidad adquirida por Twitter en los últimos años, llegando a convertirse en canal directo de comunicación de muchas empresas y figuras públicas, lo cierto es que una medida como esta es algo que ya deberían de haber empezado a desarrollar desde hace tiempo. No en vano, ya la cito mi compañera María al hablar acerca de las "mejoras que el servicio debería incluir":https://www.genbeta.com/redes-sociales/twitter-tiene-una-asignatura-pendiente-reforzar-la-seguridad en materia de seguridad.

Por parte de Twitter, no estaría mal un comunicado oficial en el que confirmaran que están trabajando en la mejora de la seguridad. Les vendría bien para paliar la imagen negativa generada por los ataques. Y si hiciesen algo así como lo que hicieron con el archivo de tweets, dar una fecha estimada para cuando estará disponible esta solución, mejor que mejor.

Vía | "The Guardian":http://www.guardian.co.uk/technology/2013/feb/04/twitter-authentication-prevent-account-hacking Enlace | "Oferta de trabajo en Twitter":https://twitter.com/jobs/positions?jvi=oIX5Wfwq,Job En Genbeta | "Qué es la verificación en dos pasos de Gmail y por qué es importante activarla":https://www.genbeta.com/correo/que-es-la-verificacion-en-dos-pasos-de-gmail-y-por-que-es-importante-activarla

La autenticación en dos pasos es un sistema de seguridad que a casi todos nos es familiar, se utiliza en el acceso a cuentas bancarias por Internet. Google empezó a implementar en septiembre este procedimiento para elevar la seguridad de acceso a Google Apps.

En febrero, el servicio de autenticación de dos vías se universalizó cuando Google lo puso a disposición de todos los usuarios para sus cuentas, aunque en inglés. Hace dos días, Google anunciaba en su blog que la verificación en dos pasos para incrementar la seguridad del correo electrónico, estaría disponible en español en breve.

En mi cuenta ya aparece. En el desplegable que hay a la derecha con nuestra dirección de correo, está la opción “Configuración de cuenta”. Pulsando aparece la página de “Google cuentas” y en la sección “Configuración personal” > “Seguridad”, disponemos de la opción “Uso de la verificación en dos pasos“. Pulsando en dicho enlace se accede a una página informativa sobre cómo configurar la funcionalidad, cuyo proceso viene a tardar unos 15 minutos.

El sistema de verificación en dos pasos incrementa de forma notable la seguridad de acceso a nuestras cuentas de Google, puede configurarse —como se ve en la imagen— para que sólo tengamos que introducir el código cada 30 días y ahora está en nuestro idioma, buena razón para perder unos minutos y evitar problemas futuros.

Vía e imagen | Blog productos Google en español

El sistema de autentificación por usuario y contraseña lleva ya muchos años con nosotros: es simple, sencillo y cómodo. Sin embargo, no es demasiado seguro y están empezando a sustituirlo otros sistemas como OAuth, los certificados digitales y la autentificación de doble vía.

Precisamente este último sistema es el que Google acaba de lanzar en todas sus cuentas. Activándolo tenemos una capa más de seguridad en nuestra cuenta: ya no sólo necesitaremos nuestro usuario y contraseña, sino también un código aleatorio que recibes en tu móvil, ya sea por SMS, llamada o desde la aplicación Google Authenticator para Android, iPhone y Blackberry.

Este sistema no es nuevo: Google ya lo implementó para los usuarios de Google Apps en septiembre, además de que es el sistema que suelen usar los bancos para verificar la identidad. Sin embargo, para el usuario común es una mejora de seguridad muy grande. Con este sistema, si alguien consigue tu contraseña no podrá hacer nada sin tu teléfono móvil y el correspondiente código generado.

Además, este sistema tampoco es demasiado incómodo. No tenemos por qué generar e introducir el código cada vez que entremos a la cuenta, sino que podemos elegir la opción de “Recordarme” para introducirlo sólo cada 30 días. Eso sí, la primera vez que entras a la cuenta desde un ordenador diferente al tuyo tienes que introducir el código obligatoriamente.

Se puede activar el sistema desde los ajustes de la cuenta de Google en la opción “2-step verification”, que aparecerá poco a poco a lo largo de estos días.

Vía | The Official Google Blog
Más información | Google Help Center
Descarga | Google Authenticator: Android, iPhone