Ah, las contraseñas. Invivibles, pero insustituibles. Este sistema de seguridad es el más extendido en todo el mundo para el acceso a todo tipo de servicios, y sus limitaciones parecían poder ser aliviadas con los sistemas de autenticación en dos pasos.
Estos sistemas permiten añadir una capa más de seguridad al obligarnos a completar el proceso con nuestro móvil, en el que recibimos un número PIN por SMS para luego introducirlo en el servicio correspondiente. El problema es que los SMS son vulnerables, así que la autenticación en dos pasos debería plantearse de otro modo. Google, por cierto, ya lo hace.
Google ofrece una alternativa que otros debería copiar
Uno de los problemas de este tipo de mensajes es que la ingeniería social puede funcionar: hace poco un activista político que usaba ese sistema de autenticación se dio cuenta de que en su cuenta de Twitter aparecían mensajes pro-Donald Trump: el hacker que ya había logrado su usuario y contraseña se había hecho pasar por el activista en su operadora móvil y había logrado que redireccionaran sus llamadas y mensajes a otro número de móvil.
El problema es que la autenticación en dos pasos se basa en un principio muy simple: combinar "algo que solo tú sabes" (tu contraseña) con "algo que solo tú tienes" (tu teléfono, tu huella dactilar, tu iris). El problema es que esa segunda parte de la ecuación no es proporcionada del todo por el sistema de autenticación en dos pasos, ya que como hemos visto los mensajes SMS se pueden redireccionar... o interceptar.
Google -que ya tenía Authenticator para esta capacidad- solucionó parte del problema la semana pasada al lanzar Google Prompt, un sistema que hace que esa verificación no se envíe a través de mensajes SMS, sino desde los servidores de Google, algo que hace más complejo interceptarlos. Hay otros sistemas -como los generadores de tokens que se usan en algunos bancos- pero parece que la propuesta de Google es especialmente interesante de cara al futuro: puede que otros servicios acaben aprovechando esa misma idea y adaptándola.
Vía | Wired
En Xataka | Autenticación en dos pasos: qué es, cómo funciona y por qué deberías activarla
Ver 12 comentarios
12 comentarios
oletros
Hombre, el titular debería ser que la autenticación en dos pasos por SMS no es segura.
Uso el sistema con Google, Microsoft, Dropbox, Evernote, Github, Amazon y algunos más y ninguno obliga a usar SMS, todos han implementado el standard que usa Google desde hace años.
El único que me obligaba a usar SMS era Apple para Apple Id.
Manuel
Los SMS son vulnerables debido a que utilizan la tecnología GSM, la cual no va cifrada.
Son fácilmente interceptables por una pequeña antena movil conectada a un portátil, la cual es tan discreta que podemos llevarla en el bolsillo sin ningún problema estando cerca de la victima.
Aunque ya se lleva trabajando desde hace varios años en una nueva tecnología en la que los SMS vayan cifrados.
Arturo Rivas
No es Google la única que piensa en ellos. Apple también da la opción de recibir el código en tu móvil y además que sea necesario desbloquearlo para poder leerlo. Y seguro que alguno más tiene otra solución.
Hay que informarse un poco más...
Añadir además que los SMS suelen previsualizarse en la pantalla de bloqueo.
derekkddj
Claro claro..todos a confiar en google..
Cuando la GSMA ya lanzó algo parecido y mejro con MobileConnect
angelshomer
Tenía entendido que la formula que daban los expertos en seguridad era: Algo que sabes (contraseña, preguntas de seguridad, etc.) + algo que tienes (Móvil, llavero USB, token, etc.) + algo que eres (Huella dactilar, iris, voz, etc.)
realcnk
Microsoft tiene desde hace muuuuuucho tiempo una app para generar codigos sin que hagan falta envios de ningun tipo. Quiza es Google la que deberia de copiar esa idea porque realmente todo lo que envies se puede interceptar.
vrash
Creo que los que han comentado sólo leyeron el encabezado, o peor, no comprendieron nada de lo que leyeron. Bien ahí.........
victorlast
La vulnerabilidad de las contraseñas en empresas es una de las principales amenazas con la que se encuentran los directores de tecnología en particular o responsables de seguridad informática en general, sobre todo cuando las empresas tienen más de 10 empleados.
Por otra parte, la sola gestión de las mismas, tanto cuando se da de alta un nuevo empleado, como cuando hay que agregarle acceso a nuevas plataformas e incluso, cuando hay que darle de baja, es una de las tareas que más tiempo consumen y sin una herramienta de gestión adecuada, se vuelve una pesadilla.
LastPass, además de sus versiones gratuitas y premiun para usuarios particulares, cuenta con una solución Enterprise que en forma rápida, eficiente y económica da solución a todos estos problemas.
Os recomiendo probar de forma gratuita y sin ningún compromiso la solución Enterprise y así poder valorar sus beneficios y funcionalidades.