RSS Autenticación en dos pasos

Hoy se celebra el día mundial de las contraseñas (Worl Password Day), su propósito siempre ha sido el de crear conciencia sobre la importancia de tener passwords seguros, y con el paso del tiempo se ha empezando a intentar educar sobre la utilización de otras medidas de seguridad complementarias, como la autenticación multifactor, pues ya no nos basta simplemente con una contraseña fuerte.

En ese espíritu, la conocida empresa de seguridad McAfee ha creado su propio videojuego en 2D con motivo de la celebración. Su nombre es True Key, al igual que la aplicación que ofrece la empresa para administrar contraseñas.

Hace ya casi cuatro años que Twitter implementaba la autenticación en dos pasos como medida de seguridad extra para todos aquellos que quisiesen tener sus cuentas un poco más seguras. Hoy en día ya es normal ver esta técnica en muchos servicios web, pero en su momento fue todo un acontecimiento.

Hoy Twitter y la autenticación en dos pasos vuelven a ser noticia, ya que según ha publicado The Next Web ahora han habilitado aplicaciones de terceros como Google Authenticator o Authy, de forma que se puedan usar más métodos aparte del mensaje SMS cuando se accede al servicio, por poner un ejemplo.

Como parte de lo que en Instagram han llamado una iniciativa para construir un ambiente más seguro en la red social de fotografía, estaremos recibiendo dos nuevas actualizaciones importantes en las aplicaciones de Instagram para Android, iOS y Windows 10.

A partir de ahora todos los usuarios podrán activar la verificación en dos pasos en sus cuentas y además de esto, se han tomado nuevas medidas para censurar contenido que pueda contener material sensible haciendo borrosa la imagen y solicitando que el usuario acepte ver la foto luego de leer una advertencia.

La autenticación en dos pasos es una de las formas más efectivas y relativamente simples de añadir una capa de protección adicional a tus cuentas en linea. A un tercero malintencionado no le bastaría solo con tener tu usuario y contraseña, sino que tendría que tener ese otro factor externo para poder hacerse con tu información. Ese otro factor suele ser algo que tenemos o que somos. Puede ser una aplicación en el móvil, un SMS, nuestra huella digital, un token especial, etc.

Lo más común es que usemos el smartphone para esto, y además de los riesgos que implica usar la autenticación en dos pasos a través de SMS siempre existe la posibilidad de que perdamos el dispositivo y nos quedemos sin acceso a nuestras cuentas. Ese es el problema que quieren solucionar en Facebook con su nueva herramienta llamada Delegated Recovery.

Siempre es una buena idea activar la verificación en dos pasos en todos los servicios a los que tienes acceso. Más allá de una contraseña fuerte, esta capa de seguridad adicional es mucho más efectiva a la hora de garantizar que solo tú puedes acceder a tus datos. La clave está en requerir dos factores para poder confirmar la identidad del usuario: algo que se sabe, algo que se tiene o algo que se es.

En el caso de la autenticación en dos pasos a través de SMS, se asume que que el control de un número de teléfono al que llegara un mensaje de texto es suficiente prueba de identidad para dar acceso a una cuenta. De la misma forma en que tener la tarjeta de débdito del banco y saber el PIN constituye los dos factores de identifiación en este caso. Sin embargo, ya se ha demostrado que el uso de SMS con este propósito es inseguro y por lo tanto no deberías utilizarlo.

Arne Swinnen, un investigador belga de seguridad online ha descubierto una vulnerabilidad en el servicio de identificación de Facebook, Google y Microsoft. Aprovechándolo, este investigador calcula que podría robarles varios cientos de miles de dólares a estas tres empresas.

Tal y como explica en su blog, el quid de la cuestión está en el sistema de autentificación en dos pasos que suelen implementar. Si el usuario quiere, las empresas nos llaman a nuestro móvil para decirnos un código de verificación, método que el investigador ha podido explotar registrándose con un teléfono de pago con el que cobrarles por cada llamada recibida.

Los sistemas de autentificación de dos pasos son un método eficaz para hacer aun más seguras nuestras cuentas online. Mediante ellos, además de introducir nuestra clave también tendremos que dar un segundo paso identificándonos mediante un segundo código que nos llegará vía móvil para confirmar que somos nosotros los que estamos intentando acceder a nuestra cuenta.

Pero este proceso puede resultar incómodo o tedioso para muchos usuarios que no quieren complicarse la vida buscando el móvil y una segunda contraseña para algo tan sencillo como acceder a su correo electrónico. Por eso, un grupo de investigadores del Instituto Federal Suizo de Tecnología ha desarrollado una solución para agilizar el proceso de autentificación complementaria utilizando el sonido ambiente con la tecnología Sound-Proof.

Paypal es la herramienta de pago por Internet más utilizada en todo en planeta. No en vano, son muchísimos los usuarios que la usan a diario, y el número de cuentas aumenta a cada segundo que pasa. La seguridad es esencial para que todo funcione correctamente y, sobre todo, para que no haya robos. La plataforma ya ha tenido algún que otro problema, por lo que no han dudado en poner nuevas herramientas que garanticen el dinero de los registrados, como la autenticación en dos pasos.

Para que sepáis en qué consiste, cuando la activamos, cada vez que queremos iniciar sesión en nuestra cuenta, el sistema nos envía un mensaje de texto para comprobar que de verdad somos nosotros. En un principio, una medida infalible, pero que no ha servido ante el ataque de un hacker que ha conseguido vulnerarlo, y al que ya podemos ponerle nombre y apellido: Joshua Rogers.

Cuando hablamos de más seguridad en nuestras cuentas de Internet, solemos hablar de cosas complejas. Autenticación en dos pasos basada en OTP, biometría... Sin embargo, no siempre lo más complejo es lo mejor. A veces, la idea más sencilla puede funcionar perfectamente, y este es el caso de Latch, una aplicación desarrollada por Eleven Paths bajo el paraguas de Telefónica.

Latch, como su propio nombre indica, es un pestillo para tus cuentas en Internet. El concepto es simple: como no siempre estamos accediendo a todas nuestras cuentas, ¿por qué dejarlas abiertas para que cualquier con el usuario y contraseña pueda entrar a ellas? Con Latch podemos bloquear las cuentas cuando no las estemos usando, añadiendo así una capa adicional de seguridad.

Hace justo un mes, Buffer fue atacado por un grupo que consiguió publicar spam en algunas cuentas vinculadas con el servicio. Además de dar una respuesta ejemplar a la crisis, el equipo de Buffer ha estado trabajando en más medidas de seguridad que han anunciado hoy.

Después del ataque, resetearon todas las contraseñas y credenciales del servicio, cifraron las direcciones de correo y claves de acceso a redes sociales y además los desarrolladores cambiaron las contraseñas y activaron seguridad adicional en todos los servicios que usan (Dropbox, Github, HipChat...).