Pero la autenticación de dos factores no es una solución milagrosa capaz de detener a los piratas informáticos en seco. Es una contramedida útil para tener entre sus defensas, pero en última instancia, no sustituye a un conocimiento práctico de las mayores amenazas que enfrentamos en línea.
Vídeos recomendados
Active la autenticación de dos factores siempre que se le presente la oportunidad, pero no cometa el error de confiar en su protección si no comprende contra qué puede y contra qué no puede defenderse. Como lo demostró 2016, mantener seguros los datos es complejo y el exceso de confianza puede dejarlo expuesto a ataques.
Relacionado
- Las contraseñas son difíciles y la gente es vaga, según muestra un nuevo informe
- Twitter ya no necesita números de teléfono para la autenticación de dos factores
- Google ofrece su propia llave de seguridad USB 'Titan' para inicios de sesión sin contraseña
¿Eres quien dices ser?
En esencia, la autenticación de dos factores consiste en verificar las credenciales. Es una forma de asegurarse de que alguien es quien dice ser, verificando dos tipos distintos de evidencia. Este tipo de sistema existe desde hace años.
Si no comprende los conceptos básicos de seguridad informática, no se le debería permitir realizar operaciones bancarias en Internet.
Los pagos con tarjeta de crédito con chip y PIN son quizás el ejemplo más omnipresente; dependen de que el usuario tenga una tarjeta física en su poder y conozca su PIN. Mientras que un ladrón podría robar una tarjeta y aprenda el PIN, no es fácil administrar ambos.
Hubo un tiempo, no hace mucho, en el que las transacciones financieras eran la única razón por la que las personas tenían que autenticar su identidad de forma regular. Hoy en día, cualquiera que utilice Internet tiene una serie de cuentas a las que no le gustaría que cualquiera tuviera acceso, por diversas razones.
La industria financiera logró implementar la autenticación de dos factores muy fácilmente, porque el único hardware que necesitaba distribuirse era una tarjeta bancaria. Distribuir un sistema similar para sitios web cotidianos es casi imposible, por lo que el sistema de dos factores se habilita a través de otros medios. Y esos métodos tienen sus propios defectos.
Experiencia de usuario
“Estoy realmente harto de que todas las cosas convenientes de la vida de repente se vuelvan demasiado engorrosas de usar”, se lee en un comentario publicado en 2005. Barra y punto Artículo sobre el inminente aumento de la autenticación de dos factores en relación con la banca en línea. "Realmente odiaría tener una ficha difícil de llevar".
"Los políticos no tienen idea del impacto que esto tiene en el mundo real", coincidió un segundo, lamentando la amenaza de que los usuarios se vean obligados a comprar hardware adicional. "Si no comprende los conceptos básicos de seguridad informática, no se le debería permitir realizar operaciones bancarias en Internet", añadió otro comentarista.
Hoy en día, quejas como estas parecen absolutamente tontas, pero en 2005 los usuarios eran más considerados sobre el costo y la molestia de llevar algún tipo de token de dos factores. La respuesta de los usuarios puede resultar aún más negativa cuando se protege algo menos importante que la banca. En 2012, se presentó una demanda colectiva contra el desarrollador de juegos Blizzard Entertainment después de que la empresa introdujo un periférico de autenticación diseñado para defender las cuentas de Battle.net de los usuarios, según un informe del bbc.
Ultimo pase
Se han realizado esfuerzos para implementar este tipo de autenticación de dos factores desde la década de 1980, cuando Security Dynamics Technologies patentó un “método y aparato para identificar positivamente a un individuo”. En la década de 2000, la infraestructura y la capacidad de fabricación eran implementadas para que organizaciones que van desde instituciones financieras hasta editores de videojuegos apliquen sus propios medios de doble factor. autenticación.
Lamentablemente, los usuarios decidieron no cooperar. Ya sea que el segundo factor de autenticación fuera tan simple como una pantalla LCD que entregaba un código único, o tan complejo como un escáner de huellas dactilares, la idea de tener otra pieza de hardware físico (y potencialmente una para cada servicio diferente que requiriera un inicio de sesión único) no era atractivo para el masas.
Es posible imaginar una historia alternativa en la que los dos factores nunca tuvieron éxito debido a este problema. Afortunadamente para nosotros, Apple presentó el iPhone y Google presentó Androide. Los teléfonos inteligentes pusieron un dispositivo capaz de autenticación de dos factores en manos de miles de millones en todo el mundo, resolviendo el problema de conveniencia del que se quejaban los usuarios en 2005.
Los teléfonos inteligentes son convenientes, pero tienen sus propios riesgos
La naturaleza ubicua de los teléfonos inteligentes ha permitido que los sitios y servicios eliminen la molestia del proceso de autenticación de dos factores. "Los que utilizan su teléfono celular tienden a ser muy fáciles de usar y de muy bajo impacto", dijo el experto en seguridad y becario de Harvard Bruce Schneier, hablando con Digital Trends a principios de este mes. “Porque es algo que ya tienes. No es algo nuevo que tengas que llevar contigo”.
Es posible imaginar una historia alternativa en la que los dos factores nunca tuvieron éxito.
En ciertos escenarios, este enfoque puede ofrecer beneficios definitivos. Por ejemplo, si inicia sesión en un servicio desde una computadora nueva, es posible que se le solicite que ingrese un código enviado a un dispositivo confiable, además de su contraseña estándar. Este es un buen ejemplo de cómo utilizar la autenticación de dos factores; Alguien más podría haber robado su contraseña e intentado iniciar sesión en la cuenta asociada desde su sistema, pero a menos que ya haya robado su teléfono, no podrá obtener acceso.
Sin embargo, existen amenazas que este tipo de protección simplemente no puede afrontar. En 2005, Schneier escribió que “la autenticación de dos factores no es nuestra salvación” en un entrada en el blog profundizando en sus debilidades.
Continuó describiendo cómo un ataque de intermediario podría engañar al usuario haciéndole creer que está en un sitio web legítimo y convencerlos de que ofrezcan ambas formas de autenticación a un inicio de sesión falso pantalla. También señala que se podría utilizar un troyano para aprovechar un inicio de sesión legítimo realizado mediante dos formas de autenticación. También existe el problema de centralizar la seguridad en un solo dispositivo; la mayoría de las personas utilizan un sistema de dos factores habilitado para teléfonos inteligentes para múltiples sitios web. Si ese teléfono es robado y comprometido, todos esos sitios están en riesgo.
El conocimiento es poder
"Cuando inicias sesión en tu cuenta, el factor dos es fantástico", dijo Schneier. “Mi universidad, Harvard, lo usa, mi empresa lo usa. Mucha gente lo ha adoptado y es muy útil. Pero sobre lo que escribí entonces, el problema era que se consideraba una panacea, lo resolvería todo. Por supuesto, sabemos que no es así”.
Las ganancias financieras siempre motivarán a los piratas informáticos malintencionados a cultivar nuevas técnicas para acceder a las cuentas de otras personas. Mientras exista algún beneficio en poseer las credenciales de otra persona, veremos cómo la piratería evoluciona continuamente.
"Hay muchas amenazas diferentes y muchos mecanismos de seguridad diferentes", explicó Schneier. "No hay una sola amenaza, ni un solo mecanismo, hay muchas amenazas y muchos mecanismos".
La mejor defensa es un flujo continuo de contramedidas nuevas y mejoradas. Si continuamos cambiando y actualizando los métodos que utilizamos para mantener nuestras cuentas seguras, le dificultaremos las cosas a cualquiera que intente acceder sin permiso.
Lamentablemente, los atacantes tienen la iniciativa. Pasaron años hasta que la autenticación de dos factores fue aceptada por las masas. A medida que aparecen nuevas formas de protección, nosotros, como usuarios, debemos comprometernos a aprovecharlas. Y eso nos devuelve a los foros de Slashdot, alrededor del año 2005. Todos volvemos a ser usuarios quejándonos de la comodidad, en lugar de preocuparnos por la seguridad.
Es difícil ignorar lo comunes que se han vuelto los ataques a gran escala y no hay señales de que esta forma de criminalidad vaya a desaparecer. No existe una defensa que sea 100 por ciento capaz de bloquear cualquier tipo de ataque; Los delincuentes siempre encontrarán una manera de explotar incluso la debilidad más pequeña. Aunque no es fácil, la mejor manera de mantenerse seguro en línea es ser consciente de las amenazas y saber qué se puede hacer para protegerse contra ellas.
La seguridad en línea es como pagar un seguro o ir al dentista. No parece tan importante hasta que lo es. No basta con simplemente optar por las formas de protección que nos ofrecen varios sitios y servicios. Saber de qué tipo de ataques nos defienden estas protecciones (y de cuáles no) es la única forma de hacerse cargo de su propia seguridad.
Recomendaciones de los editores
- La autenticación de dos factores por SMS de Twitter está teniendo problemas. Aquí se explica cómo cambiar de método
- He aquí por qué la gente dice que la autenticación de dos factores no es perfecta
- Los piratas informáticos encuentran una manera de evitar la autenticación de dos factores de Gmail
