Anuncio

En estos días, parece que cada sitio web que visitas intenta animarte a usar autenticación de dos factores (2FA).

Una de las formas más comunes de usar 2FA es ingresar un código único desde su dispositivo móvil. Por lo general, recibe el código en un mensaje de texto o utiliza una aplicación 2FA de terceros para generar uno.

Los dos métodos son formas populares de usar códigos debido a su conveniencia. Sin embargo, ambos métodos también son débiles desde el punto de vista de la seguridad. Y debido a que su código 2FA es tan seguro como la tecnología utilizada para entregarlo, las debilidades son importantes.

Entonces, ¿qué tiene de malo usando SMS y aplicaciones de terceros para acceder a sus códigos ¿Qué son los inicios de sesión sin contraseña? ¿Son realmente seguros?Llegan inicios de sesión sin contraseña. ¿Son seguros? ¿Cómo funcionan los inicios de sesión sin contraseña? Esto es lo que necesitas saber. Lee mas ? ¿Y hay una alternativa igualmente conveniente que sea más segura? Vamos a explicar todo. Sigue leyendo para saber más.

instagram viewer

Cómo funciona la autenticación de dos factores

Dediquemos un momento a analizar cómo funciona la autenticación de dos factores. Sin comprender la mecánica detrás de la tecnología, el resto de este artículo no tendrá mucho sentido.

En términos generales, 2FA agrega una capa adicional de seguridad a su cuenta Cómo asegurar sus cuentas con 2FA: Gmail, Outlook y más¿Puede la autenticación de dos factores ayudar a proteger su correo electrónico y sus redes sociales? Esto es lo que necesita saber para estar seguro en línea. Lee mas . También conocidas como autenticación multifactor, las credenciales de inicio de sesión consisten no solo en una contraseña, sino también en una segunda información a la que solo tiene acceso el propietario legítimo de la cuenta.

2FA viene en muchas formas diferentes Los pros y los contras de los tipos y métodos de autenticación de dos factoresLos métodos de autenticación de dos factores no se crean de la misma manera. Algunos son demostrablemente más seguros y más seguros. Aquí hay un vistazo a los métodos más comunes y cuáles satisfacen mejor sus necesidades individuales. Lee mas . En su nivel más básico, podría ser algo tan simple como las preguntas de seguridad (porque nadie más podría saber el apellido de soltera de tu madre Por qué estás respondiendo preguntas de seguridad de contraseña incorrectas¿Cómo responde las preguntas de seguridad de la cuenta en línea? Respuestas honestas? Desafortunadamente, tu honestidad podría crear una grieta en tu armadura en línea. Echemos un vistazo a cómo responder de forma segura a las preguntas de seguridad. Lee mas o tu mascota favorita). En el extremo más complicado, podría ser una identificación biométrica, como un escaneo de retina o una huella digital.

Por qué debería evitar la verificación por SMS

SMS goza de una posición como la forma más accesible de acceder y usar códigos 2FA. Si un sitio ofrece inicios de sesión de autenticación de dos factores, casi con seguridad ofrece SMS como una de las opciones.

Pero los SMS no son una forma segura de usar 2FA. Tiene dos vulnerabilidades clave.

En primer lugar, la tecnología es susceptible a ataques de intercambio de SIM. Un pirata informático no necesita mucho para realizar un intercambio de SIM. Si tienen acceso a otra información personal, como su número de seguro social, pueden llamar a su proveedor y transferir su número a una nueva tarjeta SIM.

En segundo lugar, los hackers pueden interceptar mensajes SMS. Todo vuelve al sistema de enrutamiento telefónico del Sistema de Señalización No. 7 (SS7). La metodología fue diseñada en 1975, pero todavía se usa casi a nivel mundial para conectar y desconectar llamadas. También maneja traducciones de números, facturación prepaga y, de manera crucial, mensajes SMS.

Como era de esperar, esta tecnología de 1975 está llena de agujeros de seguridad. Así es cómo experto en seguridad Bruce Schneier describió los defectos:

"Si los atacantes tienen acceso a un portal SS7, pueden reenviar sus conversaciones a un dispositivo de grabación en línea y redirigir la llamada a su destino previsto [...] Significa que un criminal bien equipado podría tomar sus mensajes de verificación y usarlos incluso antes de que haya visto ellos."

Por supuesto, descubrir que un ciberdelincuente tiene hackeado tu Facebook Cómo averiguar si su cuenta de Facebook ha sido pirateadaCon Facebook albergando tantos datos, debe mantener su cuenta segura. Te mostramos cómo averiguar si tu Facebook ha sido pirateado. Lee mas cuenta está lejos de ser ideal. Pero la situación es más aterradora cuando considera otros usos de 2FA. Un ciberdelincuente podría robar códigos que usa en su banca en línea, o incluso iniciar y completar transferencias de dinero Las 6 mejores aplicaciones para enviar dinero a amigosLa próxima vez que necesite enviar dinero a amigos, consulte estas excelentes aplicaciones móviles para enviar dinero a cualquier persona en minutos. Lee mas .

Además, Schneier también afirma que cualquiera puede comprar el acceso a la red SS7 por alrededor de $ 1,000. Una vez que tienen acceso, pueden enviar una solicitud de enrutamiento. Para completar el problema, la red puede no autenticar la fuente de la solicitud.

Recuerde, usar la autenticación de dos factores por SMS es mejor que dejar 2FA deshabilitado. Y probablemente sea poco probable que se convierta en una víctima. Sin embargo, si comienza a sentirse un poco preocupado, debe seguir leyendo. Muchas personas aceptan que los SMS no son seguros y recurren a aplicaciones de terceros.

Pero eso puede no ser mucho mejor.

Por qué debería evitar las aplicaciones 2FA

La otra forma común de usar códigos 2FA es instalar una aplicación dedicada para teléfonos inteligentes. Hay mucho para elegir. Google Authenticator es posiblemente el más reconocible, pero no es necesariamente el mejor. Existen muchas alternativas: consulte Authy, Authenticator Plus y Duo.

Pero, ¿qué tan seguras son las aplicaciones especializadas de 2FA? Su mayor debilidad es su dependencia de una clave secreta.

Retrocedamos un segundo. En caso de que no lo sepa, cuando se registre en muchas de las aplicaciones por primera vez, deberá ingresar una clave secreta. El secreto se comparte entre usted y el proveedor de la aplicación.

Cuando accede a un sitio, el código que crea la aplicación se basa en una combinación de su clave y la hora actual. En el mismo momento, el servidor está generando un código utilizando la misma información. Los dos códigos deben coincidir para que se otorgue el acceso. Suena sensato

Entonces, ¿por qué las llaves son el punto débil? Bueno, ¿qué sucede si un ciberdelincuente logra obtener acceso a la base de datos de contraseñas y secretos de una empresa? Cada cuenta sería vulnerable: la el atacante podría ir y venir Cómo verificar si alguien más está accediendo a su cuenta de FacebookEs siniestro y preocupante si alguien tiene acceso a su cuenta de Facebook sin su conocimiento. Aquí se explica cómo saber si ha sido violado. Lee mas a voluntad.

En segundo lugar, el secreto se muestra en texto plano o como un código QR; no puede ser picada o usada con sal Lo que realmente significa todo este material de hash MD5 [Explicación de la tecnología]Aquí hay un resumen completo de MD5, hashing y una pequeña descripción general de las computadoras y la criptografía. Lee mas . Probablemente también esté en texto plano en los servidores de la compañía.

La clave secreta es la falla fundamental en la Contraseña de un solo uso basada en el tiempo (TOTP) que usan las aplicaciones especializadas. Es por eso que una clave física U2F es siempre una opción más segura.

Defectos en el diseño y la seguridad para aplicaciones 2FA

Por supuesto, las posibilidades de que un ciberdelincuente piratee las bases de datos necesarias de una aplicación de terceros son bastante pequeñas. Pero su aplicación también podría sufrir fallas básicas de seguridad en su diseño.

Popular administrador de contraseñas LastPass 8 maneras fáciles de sobrealimentar su seguridad de LastPassEs posible que esté usando LastPass para administrar sus muchas contraseñas en línea, pero ¿lo está usando bien? Aquí hay ocho pasos que puede seguir para hacer que su cuenta de LastPass sea aún más segura. Lee mas cayó víctima en diciembre de 2017. UNA publicación de blog del programador en Medium Se puede acceder a las claves secretas 2FA reveladas sin una huella digital, contraseña u otras medidas de seguridad.

La solución alternativa ni siquiera fue complicada. Al acceder a la actividad de configuración de la aplicación LastPass Authenticator (com.lastpass.authenticator.activities). SettingsActivity), se podría ingresar al panel de configuración de la aplicación sin ninguna comprobación. Desde allí, puedes presionar atrás una vez para acceder a todos los códigos 2FA.

LastPass ahora ha solucionado la falla, pero las preguntas permanecen. Según el programador, había tratado de contarle a LastPass sobre el problema durante siete meses, pero la compañía nunca lo solucionó. ¿Cuántas otras aplicaciones 2FA de terceros son inseguras? ¿Y cuántas vulnerabilidades sin reparar conocen los desarrolladores pero retrasan la aplicación de parches? También hay preocupaciones cuando se trata de perder el acceso a su generador de código en Facebook Cómo iniciar sesión en Facebook si perdió el acceso al generador de código¿Perdió acceso al generador de código de Facebook? Este artículo cubre métodos alternativos para iniciar sesión en su cuenta de Facebook. Lee mas por ejemplo.

Qué hacer en su lugar: usar teclas U2F

En lugar de confiar en SMS y 2FA para sus códigos, debe usar Teclas universales de segundo factor ¿Qué son las claves U2F y dónde se admiten?Las claves U2F son una de las mejores formas de mantener sus cuentas seguras y protegidas. Pero, ¿dónde se admiten las claves U2F? Lee mas (U2F). Son la forma más segura de generar códigos y acceder a sus servicios.

Considerado ampliamente como una versión de segunda generación de 2FA, simplifica y fortalece el protocolo actual. Además, usar las teclas U2F es casi tan conveniente como abrir un mensaje SMS o una aplicación de terceros.

Las teclas U2F usan una conexión NFC o USB. Cuando conecta su dispositivo a una cuenta por primera vez, generará un número aleatorio llamado "Nonce". El Nonce está codificado con el nombre de dominio del sitio para crear un código único.

Llave U2F certificada por Fido

A partir de entonces, puede implementar su clave U2F conectándola a su dispositivo y esperando que el servicio la reconozca.

Entonces, ¿cuál es el inconveniente? Bueno, aunque U2F es un estándar abierto, todavía cuesta dinero comprar una llave física U2F. Y quizás más preocupante, está en riesgo de robo.

Una clave U2F robada no hace que su cuenta sea insegura automáticamente; un hacker aún necesitaría saber su contraseña. Pero en un área pública, es posible que un ladrón ya lo haya visto ingresar su contraseña desde lejos, antes de robarle sus pertenencias.

Las llaves U2F pueden ser caras

Los precios varían considerablemente de un fabricante a otro, pero puede esperar pagar entre $ 15 y $ 50.

Idealmente, desea comprar un modelo que esté "certificado por FIDO". La Alianza FIDO (Fast IDentity Online) es responsable de lograr la interoperabilidad entre las tecnologías de autenticación. Los miembros incluyen a todos, desde Google y Microsoft, hasta Bank of America y MasterCard.

Al comprar un dispositivo FIDO, puede estar seguro de que la clave U2F funcionará con todos los servicios que utiliza todos los días. Consulte la clave DIGIPASS SecureClick U2F si desea comprar una.

2FA inseguro es aún mejor que no 2FA

Para resumir, las teclas Universal 2nd Factor proporcionan un medio feliz entre la facilidad de uso y la seguridad. SMS es el enfoque menos seguro, pero también el más conveniente.

Y recuerde, cualquier 2FA es mejor que no 2FA. Sí, puede demorar 10 segundos adicionales para iniciar sesión en ciertas aplicaciones, pero es mejor que sacrificar su seguridad.

Dan es un expatriado británico que vive en México. Es el editor gerente del sitio hermano de MUO, Blocks Decoded. En varias ocasiones, ha sido editor social, editor creativo y editor financiero de MUO. Puede encontrarlo deambulando por el piso de exhibición en el CES en Las Vegas todos los años (¡gente de relaciones públicas, comuníquese!), Y hace muchos sitios detrás de escena...