Proteger las cuentas en la nube: Verificación en dos pasos

Que lejos quedan los tiempos en los que solo manejábamos una contraseña en Internet, la de la conexión telefónica, que era la misma que la del correo. Hoy día manejamos cantidades muy considerables de usuarios y contraseñas, en gmail, en las redes sociales, en los comercios electrónicos y en un etcétera de sitios web que nos piden registrarnos para poder usarlos.

Tantas contraseñas que llegan a convertirse en un problema. Hay personas que abordan esta proliferación de registros en sitios web utilizando la misma contraseña en todos lo sitios. Algo que no es muy seguro. Otros utilizan diferentes contraseñas para cada sitio y se apoyan en herramientas que permiten mantener una relación de sitio web y contraseña utilizada, incluso permitiendo generar aleatoriamente la contraseña.

Porque este es otro de los problemas con las contraseñas, que son más seguras cuanto más largas sean y más caracteres especiales contengan. Y a ser posible que no sean contraseñas de diccionario, es decir una palabra que se pueda encontrar en un diccionario. Pero cuanto más segura es la contraseña, normalmente es mas complicado acordarse de ella.

En todos los casos las contraseñas no son un mecanismo de un nivel de fortaleza muy alto. De hecho dentro de los diferentes mecanismos de autenticación que existen el usuario y contraseña está catalogado como de los más bajos en nivel de fortaleza. Todos hemos visto en los medios de comunicación casos de personajes famosos a los que les han robado fotos del móvil o de la nube. O de comunicados de sitios web que pedían a sus usuarios que cambiasen la contraseña porque habían sufrido un robo de las mismas. Y sin necesidad de llegar tan lejos en una ocasión me encontré mi cuenta de Facebook bloqueada porque habían detectado una entrada anómala. Algún hacker estaba intentando acceder a mi cuenta desde Rusia.

Porque antiguamente para que te robasen algo tenían que entrar físicamente en tu casa. Pero con la proliferación de servicios en la nube esa seguridad física ha desaparecido.

Debido a todos estos problemas las principales empresas que ofrecen sus servicios en la nube han implementado mecanismos para dotar de mayor seguridad a sus servicios. Estos mecanismos son los que se conocen como verificación en dos pasos o de dos factores.

Su funcionamiento se basa en algo que sabemos, primer paso o factor y en algo que tenemos, segundo paso o factor.

Normalmente lo que sabemos es una contraseña y lo que tenemos suele ser o una tarjeta de coordenadas, popularmente conocidas como guerra de barcos, o bien un móvil.

Las tarjetas de coordenadas suelen ser más utilizadas por bancos y organismos oficiales ya que suponen entregar físicamente una tarjeta al usuario. Algo que no es tan sencillo para sitios web que están radicados en el extranjero. El inconveniente es que si queremos acceder al sitio web tenemos que portar la tarjeta para poder consultarla, lo cual puede ser un incordio.

Pero hay algo que todos llevamos encima siempre y es el teléfono móvil. Así que muchos sitios recurren al envío de un SMS con una contraseña de un solo uso, conocida como OTP (One Time Password). Pero este método tiene un par de inconvenientes. Tiene un coste, al enviar un SMS y, aunque no es muy habitual, puede ser que no te llegue el código antes de que caduque. A me ha ocurrido en alguna ocasión.

Las grandes empresas tecnológicas que prestan sus servicios en la nube utilizan una variante del OTP conocida como TOTP (Time-based One Time Password).

En este caso se suele disponer de una aplicación en el móvil, normalmente Google Authenticator que genera una contraseña en intervalos de 30 segundos y que deberemos introducir cuando se nos solicite. Servicios como la propia Google, Evernote o GitHub entre otros permiten configurar la autenticación en dos pasos utilizando la aplicación Google Authenticator.

El proceso suele ser muy sencillo, normalmente consiste en entrar en la configuración de servicio que queremos proteger y activar la autenticación en dos pasos. Momento en el que se nos mostrará un código QR en la pantalla del ordenador y que deberemos capturar con la cámara del móvil y que nos configurará la aplicación. A partir de ese momento cuando nos pidan el código deberemos entrar en la aplicación y poner el código que nos genera.

Es muy conveniente activar la autenticación en dos pasos en todos aquellos servicios que utilicemos. Nos proporciona mayor seguridad, es sencillo de hacer y no muy engorroso de utilizar.

 

 

Deja un comentario