Debería usar la autenticación de dos factores en cada cuenta que le dé la opción. No hay mejor manera de mantener su cuenta segura y, sin importar quién sea, debe querer que todas sus cuentas estén lo más seguras posible. Tampoco importa qué teléfono uses, 2FA funciona con un teléfono Android económico, el mejor teléfono Android o un iPhone. Por supuesto, usted ha oído todo esto antes.
Sin embargo, no todos los métodos de dos factores son iguales. Como cualquier otra medida de seguridad para el usuario, debe cambiar cierta comodidad por protección, y los métodos más seguros de 2FA también son los menos convenientes. Por el contrario, los métodos más convenientes son también los menos seguros.
Vamos a echar un vistazo a las diferentes formas en que puede usar la autenticación de dos factores y discutir los pros y los contras de cada uno.
Evítalo a toda costa, aunque es mejor que nada
4. Autenticación de dos factores basada en SMS
Fuente: Jeramy Johnson / Android Central (Crédito de la imagen: Fuente: Jeramy Johnson / Android Central)
Recibir un mensaje de texto con un código de dos factores es la forma más popular de asegurar una cuenta en línea. Desafortunadamente, también es la peor manera.
La 2FA basada en SMS es fácil y conveniente. Tampoco es muy seguro.
Usted da su número de teléfono cuando se registra para obtener una cuenta o si regresa y habilita 2FA en un momento posterior. Luego, una vez que se verifica el número, se usa para enviar un código cada vez que necesites autenticar que realmente eres tú. Es súper fácil y conveniente, lo que significa que muchas personas lo usan y muchas compañías lo ofrecen como el único medio para asegurar una cuenta.
La facilidad de uso y la conveniencia son grandes cosas, pero nada más sobre SMS es bueno. SMS nunca fue diseñado para ser un medio seguro de comunicación. Dado que es un estándar de la industria, incluso una aplicación como Signal que ofrece mensajería encriptada y segura aún envía mensajes SMS como texto sin formato. Nathan Collier, analista sénior de inteligencia de malware en Malwarebytes, describe los SMS así:
Los mensajes de texto SMS, enviados y almacenados en servidores en texto plano, pueden ser interceptados durante el tránsito. Además, los mensajes SMS pueden enviarse al número equivocado. Y cuando los mensajes llegan al número correcto, el destinatario no notifica si el mensaje se leyó o incluso se recibió.
Un problema mayor es que los operadores pueden (y han sido) engañados para que autoricen una nueva tarjeta SIM utilizando el número de teléfono de otra persona. Entonces, si alguien realmente quisiera obtener acceso a su cuenta bancaria o pedir un montón de cosas de Amazon usando su tarjeta de crédito, todo lo que necesita hacer es convencer a alguien en su proveedor de que es usted, perdió su teléfono y necesita su número se movió a una nueva tarjeta SIM que tienen.
Todo esto también se aplica a la autenticación basada en correo electrónico. El correo electrónico es realmente la única forma en que puede funcionar cualquier proceso de recuperación de cuenta, y muchos lugares como su banco querrán enviarle un código por correo electrónico para iniciar sesión desde un nuevo dispositivo. Simplemente no es muy seguro, y todos en la industria lo saben. Entonces, tal vez lo que viene a continuación es arreglar cómo se usa el correo electrónico como columna vertebral para este tipo de cosas.
Probablemente deberías usar esto
3. Aplicaciones de autenticación
Fuente: Alex Dobie / Android Central (Crédito de la imagen: Fuente: Alex Dobie / Android Central)
Las aplicaciones de autenticación como Google Authenticator o Authy ofrecen una mejora significativa con respecto a la 2FA basada en SMS. Funcionan usando lo que se llama contraseñas de un solo uso basadas en el tiempo (TOTP) que una aplicación en su teléfono puede generar usando un algoritmo complejo sin ninguna conexión de red. Un sitio web o servicio utiliza el mismo algoritmo para asegurarse de que el código sea correcto.
Las aplicaciones de autenticación son mejores que los SMS para 2FA, pero no son infalibles.
Dado que funcionan sin conexión, el estilo 2FA de TOTP no está sujeto a los mismos problemas que el uso de SMS, pero no está exento de fallas. Por ejemplo, los investigadores de seguridad han demostrado que es posible interceptar y manipular los datos que envías cuando ingresas al TOTP en un sitio web, pero no es fácil.
El verdadero problema viene del phishing. Es posible crear un sitio web de phishing que se vea y actúe como el real e incluso transmita las credenciales que proporciona, como su contraseña y el TOTP generado por una aplicación de autenticación, para iniciar sesión en el servicio real. También inicia sesión al mismo tiempo y puede actuar como si fueras tú sin el servicio que estás usando, sabiendo la diferencia. Después de todo, se proporcionaron las credenciales adecuadas.
Otra desventaja es que puede que no sea fácil obtener los códigos que necesita si pierde su teléfono. Algunas aplicaciones de autenticación como Authy funcionan en todos los dispositivos y usan una contraseña central para configurar las cosas para que vuelvan a funcionar en poco tiempo. Además, la mayoría de las empresas proporcionarán un conjunto de códigos de respaldo que puede conservar para los momentos en que todo se tuerce. Dado que esos datos también se envían a través de Internet, debilita la eficacia del uso de TOTP pero ofrece una mayor comodidad a los usuarios.
Seguro y conveniente, pero no común.
2. 2FA basado en push
Fuente: Google (Crédito de la imagen: Fuente: Google)
Algunos servicios, sobre todo Apple y Google, pueden enviar un aviso a su teléfono durante un intento de inicio de sesión. Este mensaje le indica que alguien está intentando iniciar sesión en su cuenta, también puede proporcionar una ubicación aproximada y le pide que apruebe o rechace la solicitud. Si eres tú, tocas un botón y simplemente funciona.
Una notificación para 2FA es súper fácil y súper conveniente. Sin embargo, no pierdas tu teléfono.
La 2FA basada en push mejora la autenticación SMS 2FA y TOTP de varias maneras. Es aún más conveniente porque todo funciona a través de una notificación estándar en su teléfono, todo lo que necesita hacer es leer y tocar. También es mucho más resistente al phishing y hasta ahora ha demostrado ser muy resistente a los "hacks". Sin embargo, nunca digas nunca.
2FA basado en push también magnifica algunas de las desventajas de SMS y TOTP: debe estar en línea a través de una conexión de datos real (los planes celulares de voz y texto no funcionarán) y debe tener el dispositivo correcto para recibir el mensaje. Tampoco está muy estandarizado, por lo que puede esperar usar un aviso de inicio de sesión en su Google Pixel para autenticar sus otras cuentas.
Fuera de estos dos inconvenientes genuinos, 2FA basado en push es seguro y conveniente. También se tendrá en cuenta en los planes futuros de Google para hacer cumplir 2FA para su cuenta de Google.
¡El ganador! ¡Pero también molesto!
1. 2FA basado en hardware
Fuente: Jerry Hildenbrand / Android Central (Crédito de la imagen: Fuente: Jerry Hildenbrand / Android Central)
El uso de una pieza de hardware separada, como un dispositivo de autenticación o una clave de seguridad U2F, es la mejor manera de proteger cualquier cuenta en línea. Es el método que utilizo, y les diré que no es muy conveniente y lo hace poco popular.
Lo configura usando el hardware, y cada vez que desee iniciar sesión desde un nuevo dispositivo o después de un período de tiempo establecido por un administrador de cuenta, debe producir el mismo dispositivo para volver a ingresar. Funciona cuando el dispositivo envía un mensaje firmado. devuelva el código de desafío al servidor que es específico para el sitio, su cuenta y el dispositivo en sí. Hasta ahora, U2F ha sido a prueba de phishing y piratería. De nuevo, nunca digas nunca.
Usar una clave U2F es la forma menos conveniente pero más segura de realizar la autenticación de dos factores. Probablemente no sea para ti porque es un PITA.
Por lo general, puede configurar más de un dispositivo en la misma cuenta para que no pierda el acceso si pierde su clave de seguridad, pero aún significa que necesita tener esa clave con usted cada vez que desee iniciar sesión en un sitio web o servicio. Por ejemplo, utilizo una clave U2F para proteger mis cuentas de Google y, cada 12 horas, debo proporcionar la clave para volver a mi cuenta de Google Enterprise para trabajar. Eso significa que tengo una llave en el cajón de mi escritorio, en mi llavero y en un sobre que un amigo guarda para mí en caso de emergencia.
Fuente: Jerry Hildenbrand / Android Central (Crédito de la imagen: Fuente: Jerry Hildenbrand / Android Central)
Por lo general, también puede configurar un método de respaldo de 2FA si está usando una clave y Google lo obliga a hacerlo. Esto es excelente por conveniencia, pero también compromete la seguridad de su cuenta porque los métodos menos seguros siguen siendo formas viables para que usted o cualquier otra persona vuelva a ingresar.
Otro inconveniente de usar un token de hardware como clave de seguridad es el costo. El uso de SMS, una aplicación de autenticación o 2FA basado en push es gratuito. Para usar una llave de seguridad, deberá comprar una y pueden costar entre $ 20 y $ 100 cada una. Debido a que realmente debería tener al menos una clave de respaldo si va por este camino, esto puede sumar. Finalmente, usar una llave de seguridad con su teléfono puede ser complicado. Encontrarás llaves que funcionan a través de USB, NFC e incluso Bluetooth, pero ningún método es 100 % confiable el 100 % del tiempo cuando se usa una llave con un teléfono.
¿Cuál es el mejor?
Fuente: Joe Maring / Android Central (Crédito de la imagen: Fuente: Joe Maring / Android Central)
Todos ellos y ninguno de ellos.
Cualquier tipo de 2FA en una cuenta es mejor que ninguno, e incluso 2FA basado en SMS significa que está más protegido de lo que estaría si solo confiara en una contraseña. Si tiene paciencia, un programa como el Programa de Protección Avanzada de Google puede hacer que su vida en línea sea muy segura y casi libre de preocupaciones. Pero debe sopesar la comodidad frente a la seguridad.
Personalmente, desearía que 2FA basado en SMS simplemente desapareciera porque incluso yo puedo hackearlo. Eso significa que usted también puede hacerlo, si está dispuesto a leer un poco y copiar y pegar. Peor aún, significa que cualquiera puede piratearlo, y hay personas que se tomarán el tiempo y la energía para probarlo en cualquier víctima desprevenida que puedan encontrar.
Al final, debe darse cuenta de que es un objetivo para los piratas informáticos en línea, aunque no sea un político o una estrella de cine. Esto significa que realmente necesita dar uno o dos pasos adicionales para proteger sus cuentas en línea. Con suerte, saber un poco más sobre cómo funcionan los diferentes métodos de autenticación de dos factores puede ayudarlo a tomar la decisión correcta.