La verificación en dos pasos

27 marzo 2020 6 mins to read
Share

Lo habréis visto escrito de muchas maneras: verificación en dos pasos, verificación de doble factor o 2FA. Todo se refiere a la misma técnica. 

Lo que se hace es añadir una capa extra de seguridad tras el usuario y contraseña de una manera que hace que es mas probable que seas tu y no otro haciéndose pasar por ti quien está entrando en la web o usando un servicio.

La idea que subyace tras todas ellas es la misma, si requiero de un elemento físico para poder acceder a una web o servicio es casi imposible que un atacante que esté en el otro lado del mundo pueda hackear tu cuenta porque además del usuario y contraseña debe tener acceso a algo físico tuyo.

Hay varias aproximaciones a esta técnica que cada vez está más extendida: las basadas en un teléfono, ya que es algo personal que llevamos con nosotros y las que se basan en un dispositivo dedicado como un USB criptográfico. 

Los basados en un teléfono inteligente

Mediante clave temporal

  • El SMS de verificación: cuando introduces tu usuario y contraseña te llega un SMS al móvil que hayas dado de alta para que introduzcas el código en una casilla.
  • Llamada telefónica: cuando no es posible recibir SMS por problemas en la red, suele existir la posibilidad de que la verificación se haga mediante un robot telefónico que nos dice el código que debemos introducir en la web.
  • Contraseña temporal: mediante programas de autenticación se generan contraseñas temporales para cada web que cambian cada 30 segundos. Al entrar a la web con tus credenciales se te pedirá la contraseña temporal que esté activa en ese momento.

El funcionamiento de la clave temporal es muy sencillo para el usuario, tras introducir el usuario y la contraseña aparece un campo donde introducir una contraseña temporal, generalmente de 6 números. Esta clave la genera un programa instalado en tu móvil, aunque no tengas internet, y si coincide te deja acceder. Es como un santo y seña que se cambia cada 30 segundos. 

Configuración

Vamos a ver cómo se activa este sistema. Generalmente los pasos son parecidos en todas las plataformas, así que voy a enseñaros cómo se activa Dropbox, por ejemplo. 

En primer lugar, entrarás en la web de Dropbox y pulsarás sobre la imagen de tu perfil (1) y luego sobre configuración (2).

Luego en la pestaña de seguridad (3).

La tercera opción que hay es la verificación en dos pasos (4), que como puedes leer requiere de una llave o un código de seguridad. En este caso usaremos el código de seguridad. Para activarlo pulsa en el boton (5) para activarlo.

Antes de activarlo, dropbox te informa de lo que implica activar esta capa de seguridad adicional.

Luego tendrás la opción de usar un SMS de verificación o una aplicación que genere dichos códigos.

Puedes elegir la opción que prefieras, para este ejemplo elije la opción de Usar aplicación móvil (6).

En estos casos siempre aparecerá un código QR (7) que debes escanear con una aplicación de autenticación para que se sincronicen las claves. Las aplicaciones más comunes son las siguientes:

Abre la aplicación que hayas elegido y pulsa en el signo +para añadir una nueva clave. Escanea el código QR y verás que aparece en la pantalla de tu móvil un código de 6 cifras con una cuenta atrás de 30 segundos. Cada vez que pasan esos 30 segundos el código cambia.

Pulsa sobre siguiente en la web de dropbox. Te pedirá que introduzcas el código que te aparece en la app para comprobar que la configuración ha ido bien.

¡Listo! ya has configurado tu primera autenticación en dos pasos. 

Otros sistemas

  • Programas de autenticación propios, como los de Microsoft, Google o Apple que permiten que ese segundo paso sea mucho más sencillo de verificar.

Estas tres empresas, entre otras, están impulsando tecnologías que permitan que nos olvidemos de las contraseñas, que eran un sistema útil en el pasado, pero se ha vuelto muy vulnerable por la cantidad de contraseñas que necesitamos, lo que hace que acabemos usando la misma para todo.

Cada una de ellas, ahora mismo estan usando métodos distintos, aunque han creado una alianza para conseguir un estándard. Mientras tanto sus apps ofrecen tres aproximaciones distintas e interesantes a la vez:

  • Apple te muestra una pantalla emergente en tu dispositivo con el código a introducir en la web de iCloud, por ejemplo.
  • Google, mediante la app Google para iOS te muestra una notificacion cuando entres en su web que te pregunta si eres tu quien está accediendo. Aceptando la notificación tendrás acceso a gmail. 
  • Microsoft tiene el sistema que más me gusta, porque elimina la necesidad de contraseña totalmente. Metes tu usuario y al darle a aceptar te manda una notificación a su app con un mensaje para que elijas uno de tres números. En la pantalla del navegador se aparece uno de ellos. Haciendo clic en el que aparece en la web entrarás a office365 por ejemplo sin necesidad de contraseñas.

Los basados en un dispositivo físico dedicado

  • Llave de seguridad FIDO/U2F: que es un USB criptográfico, no es un pendrive para guardar archivos. Cuando introduces tu usuario y contraseña en una web te pedirá que insertes la llave USB y que toques su superficie para asegurarse de que estás ahí.

Este sistema es equivalente a los de la clave temporal, solo que, digamos, que la clave temporal se introduce sola al tocar la llave una vez insertada. Sin embargo aun son pocas las webs que permiten el uso de estos dispositivos y están mas enfocados a la seguridad empresarial que a la de los usuarios finales.

1 Comment on “La verificación en dos pasos”

Deja un comentario