Tabla de contenido:
- Los fundamentos de 2FA
- Las trampas prácticas
- El problema de la recuperación de la cuenta
- 2FA es realmente muy bueno
Video: CÓMO ANULAR UN SEGURO | 1 TRUCO ➤ jugar a dos bandas (Noviembre 2024)
Esta semana, estoy cavando de nuevo en mi bolsa de correo sin fondo para abordar otra pregunta sobre la autenticación de dos factores (2FA). Es un tema que he mencionado antes, pero a juzgar por el volumen y la especificidad de las preguntas que recibí al respecto, es claramente un tema en el que mucha gente está pensando. Dado que veo a 2FA como, quizás, la mejor cosa que las personas normales pueden hacer para mantenerse seguras en línea, estoy más que feliz de hablar sin parar sobre eso.
La pregunta de hoy proviene de Ted, quien escribió preguntando si los sistemas 2FA son realmente todo lo que están hechos. Tenga en cuenta que la carta de Ted ha sido editada por brevedad. Ted comienza su mensaje haciendo referencia a algunos de mis otros escritos en 2FA.
Usted escribió "Una vez que inscriba su clave de seguridad, los códigos de acceso SMS serán una opción de respaldo en caso de que pierda o no pueda acceder a su clave". Si esto es cierto, ¿por qué este dispositivo es más seguro que un código SMS 2FA? Como también escribió, "Pero los teléfonos pueden ser robados y el robo de SIM aparentemente es algo de lo que debemos preocuparnos ahora".
¿Qué puede evitar que alguien le diga a Google que eres tú, que has perdido la clave de seguridad y necesitas un código SMS enviado a tu teléfono robado / robado? Si entiendo esto correctamente, este dispositivo no es más seguro que los mensajes de texto SMS 2FA. Es mucho más conveniente, eso es seguro, pero no veo cómo es más seguro.
¿El resultado de todo esto es que la clave de seguridad aumentará su seguridad, pero solo porque es más probable que la use, no porque sea inherentemente más segura que 2FA? ¿Qué me estoy perdiendo?
No te estás perdiendo nada, Ted. De hecho, es inteligente para abordar un problema fundamental que subyace a gran parte de la seguridad que rodea la autenticación en línea: ¿cómo verifica de forma segura quiénes son las personas, sin hacer que les sea imposible recuperar sus cuentas?
Los fundamentos de 2FA
Vamos a cubrir algunos conceptos básicos primero. La autenticación de dos factores, o 2FA, es un concepto de seguridad en el que debe presentar dos pruebas de identidad, llamadas factores, de una lista de tres posibles.
- Algo que sabes , como una contraseña.
- Algo que tienes , como un teléfono.
- Algo que eres , como tu huella digital.
En términos prácticos, 2FA a menudo significa una segunda cosa que haces después de ingresar tu contraseña para iniciar sesión en un sitio o servicio. La contraseña es el primer factor, y el segundo podría ser un mensaje SMS enviado a su teléfono con un código especial o el uso de FaceID de Apple en un iPhone. La idea es que, si bien se puede adivinar o robar una contraseña, es menos probable que un atacante pueda obtener su contraseña y su segundo factor.
En su carta, Ted pregunta específicamente sobre las claves de hardware 2FA. La serie YubiKey de Yubico es probablemente la opción más conocida, pero está lejos de ser la única opción. Google tiene sus propias claves Titan Security y Nitrokey ofrece una clave de código abierto, por nombrar solo dos.
Las trampas prácticas
Ningún sistema de seguridad es perfecto, y 2FA no es diferente. Guemmy Kim, líder de gestión de productos para el equipo de Seguridad de cuentas de Google, señaló acertadamente que muchos de los sistemas en los que confiamos para la recuperación de cuentas y 2FA son susceptibles de phishing. Aquí es donde los malos usan sitios falsos para engañarte para que ingreses información privada.
Uno de los ataques más exóticos sería la extracción de SIM, donde un atacante clona su tarjeta SIM o engaña a su compañía telefónica para que anule el registro de su tarjeta SIM, para interceptar sus mensajes SMS. En este escenario, el atacante podría hacerse pasar por usted de manera muy efectiva, ya que podría usar su número de teléfono como propio.
Un ataque no tan exótico es una simple pérdida y robo. Si su teléfono o una aplicación en su teléfono es su autenticador principal y lo pierde, será un dolor de cabeza. Lo mismo es cierto para las llaves de hardware. Aunque las claves de seguridad de hardware, como Yubico YubiKey, son difíciles de romper, son muy fáciles de perder.
El problema de la recuperación de la cuenta
Lo que Ted señala en su carta es que muchas compañías requieren que configure un segundo método 2FA, además de una clave de seguridad de hardware. Google, por ejemplo, requiere que uses SMS, instales la aplicación Authenticator de la compañía o inscribas tu dispositivo para recibir notificaciones push de Google que verifiquen tu cuenta. Parece que necesita al menos una de estas tres opciones como respaldo para cualquier otra opción 2FA que use, como las llaves Titan de Google.
Incluso si inscribe una segunda clave de seguridad como copia de seguridad, aún debe habilitar SMS, Google Authenticator o notificaciones push. En particular, si desea utilizar el Programa de Protección Avanzada de Google, es necesario inscribir una segunda clave.
Del mismo modo, Twitter también requiere que utilice códigos SMS o una aplicación de autenticación además de una clave de seguridad de hardware opcional. Desafortunadamente, Twitter solo le permite inscribir una clave de seguridad a la vez.
Como señaló Ted, estos métodos alternativos son técnicamente menos seguros que usar una clave de seguridad por sí misma. Solo puedo adivinar por qué estos sistemas se implementaron de esta manera, pero sospecho que quieren asegurarse de que sus clientes siempre puedan acceder a sus cuentas. Los códigos de SMS y las aplicaciones de autenticación son opciones probadas en el tiempo que son fáciles de entender para las personas y no requieren que compren dispositivos adicionales. Los códigos SMS también abordan el problema del robo del dispositivo. Si pierde su teléfono o se lo roban, puede bloquearlo de forma remota, desautorizar su tarjeta SIM y obtener un nuevo teléfono que pueda recibir los códigos SMS para volver a conectarse.
Personalmente, me gusta tener múltiples opciones disponibles porque, aunque estoy preocupado por la seguridad, también me conozco y sé que pierdo o rompo las cosas con bastante regularidad. Sé que las personas que nunca han usado 2FA antes están muy preocupadas por verse bloqueadas de su cuenta si usan 2FA.
2FA es realmente muy bueno
Siempre es importante comprender los inconvenientes de cualquier sistema de seguridad, pero eso no invalida el sistema. Si bien 2FA tiene sus puntos débiles, ha tenido un enorme éxito.
Nuevamente, solo tenemos que mirar a Google. La compañía requirió el uso de claves de hardware 2FA internamente, y los resultados hablan por sí mismos. Las adquisiciones exitosas de cuentas de los empleados de Google desaparecieron efectivamente. Esto es especialmente importante teniendo en cuenta que los empleados de Google, con su posición dentro de la industria tecnológica y su (presunta) riqueza, son los principales para ataques dirigidos. Aquí es donde los atacantes hacen un gran esfuerzo para atacar a individuos específicos en un ataque. Es raro, y generalmente exitoso si el atacante tiene suficientes fondos y paciencia.
La advertencia aquí es que Google requería un tipo específico de 2FA: claves de seguridad de hardware. Estos tienen la ventaja sobre otros esquemas 2FA, ya que son muy difíciles de phishing o de otra manera interceptar. Algunos podrían decir imposible, pero vi lo que le sucedió al Titanic y lo sé mejor.
Aún así, los métodos para interceptar códigos SMS de 2FA o tokens de autenticación son bastante exóticos y realmente no escalan bien. Eso significa que es poco probable que sean utilizados por el delincuente promedio, que busca ganar dinero de la manera más rápida y fácil posible, en una persona promedio, como usted.
Para el punto de Ted: las claves de seguridad de hardware son la forma más segura que hemos visto para hacer 2FA. Son muy difíciles de phishing y muy difíciles de atacar, aunque no carecen de sus debilidades inherentes. Además, las llaves de hardware 2FA están preparadas para el futuro hasta cierto punto. Muchas compañías se están alejando de los códigos SMS, y algunas incluso han adoptado inicios de sesión sin contraseña que dependen completamente de las claves 2FA de hardware que usan el estándar FIDO2. Si está utilizando una llave de hardware ahora, hay una buena posibilidad de que esté seguro en los próximos años.
- Autenticación de dos factores: quién lo tiene y cómo configurarlo Autenticación de dos factores: quién lo tiene y cómo configurarlo
- Google: los ataques de phishing que pueden vencer a dos factores están en aumento Google: los ataques de phishing que pueden vencer a dos factores están en aumento
- SecurityWatch: cómo no quedar bloqueado con la autenticación de dos factores SecurityWatch: cómo no quedar bloqueado con la autenticación de dos factores
Tan seguro como son las claves 2FA de hardware, el ecosistema más grande requiere que se hagan algunos compromisos para evitar que se bloquee innecesariamente su cuenta. 2FA necesita ser una tecnología que la gente realmente use, o de lo contrario no vale nada.
Dada la opción, creo que la mayoría de la gente usará las opciones 2FA basadas en aplicaciones y SMS, ya que son más fáciles de configurar y efectivamente gratuitas. Estas pueden no ser las mejores opciones posibles, pero funcionan muy bien para la mayoría de las personas. Sin embargo, eso podría cambiar pronto, ahora que Google le permite usar un dispositivo móvil con Android 7.0 o posterior como clave de seguridad de hardware.
A pesar de sus limitaciones, 2FA es probablemente la mejor opción para la seguridad del consumidor desde el antivirus. Precisa y eficazmente previene algunos de los ataques más devastadores, todo sin agregar demasiada complejidad a la vida de las personas. Sin embargo, si decide usar 2FA, elija un método que tenga sentido para usted. No usar 2FA es mucho más dañino que usar un sabor 2FA ligeramente menos excelente.
