Todas las grandes compañías de Internet están poniendo en marcha sus propios sistemas de autenticación de dos pasos con los que esperan reducir el impacto de unos ciberdelincuentes cada vez más activos.
Compañías con autenticación de 2 pasos
Compañías como Google, Dropbox, Apple y Microsoft han implementado la autenticación de 2 pasos. Por su parte, Azure ha estrenado la Autenticación Activa que comprueba los inicios de sesión con una app móvil, una llamada telefónica o un SMS. En la lista están también Evernote, Twitter y LinkedIn, que se han puesto las pilas en materia de verificación en dos pasos tras sufrir embarazosos ataques hacker.
¿Pero en qué consiste la verificación en dos pasos ó autenticación de dos factores?
- Como su nombre bien indica, esta solución basa su fiabilidad en solicitar no una, sino dos claves diferentes a los usuarios antes de concederles pleno acceso a sus cuentas si se detecta una conexión no segura o un equipo diferente al habitual. Mientras una de ellas es la típica contraseña elegida por el dueño legítimo cuando se registra, la otra es un código que el sistema genera al azar en el momento de loguearse. Este código no se comunica en la misma página, sino que se envía a través de un mensaje de texto al teléfono indicado previamente por el usuario, cuando da de alta el servicio, o en ocasiones mediante una aplicación móvil.
- Por si acaso dos acreditaciones no llegasen, también existen procedimientos que recurren a una tercera prueba para garantizar las conexiones: como la huella digital, su voz o cualquier otro detalle biométrico que se pueda reconocer a través de un escáner.
¿En qué se basan las críticas de los detractores ?
- En primer lugar, en el hecho de que a pesar de la implementación de esta medida continúa existiendo la fatalidad del robo físico de dispositivos y la posibilidad de arrancar el sistema en modo seguro saltándose todas las barreras.
- Que los datos quedan expuestos por la mala costumbre de no cerrar sesión justo al acabar de revisar el estado de una cuenta… desatando el debate de la dejadez de los usuarios una vez más.
- Los usuarios siguen cayendo en las trampas de la ingeniería social, las técnicas “man-in-the-middle” y las elaboradas campañas de correo “phishing”, para obtener la confesión voluntaria, bajo engaño, de las claves de acceso oficiales y las combinaciones de seguridad adicionales.
- Adviertencia del impacto de no mantener actualizados con los últimos parches de software los ordenadores, tabletas o teléfonos utilizados para conectarse a Internet, en los que se puede colar un troyano para escalar privilegios
- Por no hablar del problema de la recuperación de cuentas o el hecho de compartir credenciales para un mismo perfil corporativo entre varios compañeros de trabajo, porque se desvanecen los límites de control.
- Si todos estos escollos persisten, la verificación en dos pasos se entendería como una pieza más del puzzle de la seguridad, pero nunca como una solución definitiva que cortará de raíz los problemas de autenticación .
Fuente: Silicon Week
