Lo habréis visto escrito de muchas maneras: verificación en dos pasos, verificación de doble factor o 2FA. Todo se refiere a la misma técnica.
Lo que se hace es añadir una capa extra de seguridad tras el usuario y contraseña de una manera que hace que es mas probable que seas tu y no otro haciéndose pasar por ti quien está entrando en la web o usando un servicio.
La idea que subyace tras todas ellas es la misma, si requiero de un elemento físico para poder acceder a una web o servicio es casi imposible que un atacante que esté en el otro lado del mundo pueda hackear tu cuenta porque además del usuario y contraseña debe tener acceso a algo físico tuyo.
Hay varias aproximaciones a esta técnica que cada vez está más extendida: las basadas en un teléfono, ya que es algo personal que llevamos con nosotros y las que se basan en un dispositivo dedicado como un USB criptográfico.
El funcionamiento de la clave temporal es muy sencillo para el usuario, tras introducir el usuario y la contraseña aparece un campo donde introducir una contraseña temporal, generalmente de 6 números. Esta clave la genera un programa instalado en tu móvil, aunque no tengas internet, y si coincide te deja acceder. Es como un santo y seña que se cambia cada 30 segundos.
Vamos a ver cómo se activa este sistema. Generalmente los pasos son parecidos en todas las plataformas, así que voy a enseñaros cómo se activa Dropbox, por ejemplo.
En primer lugar, entrarás en la web de Dropbox y pulsarás sobre la imagen de tu perfil (1) y luego sobre configuración (2).
Luego en la pestaña de seguridad (3).
La tercera opción que hay es la verificación en dos pasos (4), que como puedes leer requiere de una llave o un código de seguridad. En este caso usaremos el código de seguridad. Para activarlo pulsa en el boton (5) para activarlo.
Antes de activarlo, dropbox te informa de lo que implica activar esta capa de seguridad adicional.
Luego tendrás la opción de usar un SMS de verificación o una aplicación que genere dichos códigos.
Puedes elegir la opción que prefieras, para este ejemplo elije la opción de Usar aplicación móvil (6).
En estos casos siempre aparecerá un código QR (7) que debes escanear con una aplicación de autenticación para que se sincronicen las claves. Las aplicaciones más comunes son las siguientes:
Abre la aplicación que hayas elegido y pulsa en el signo +
para añadir una nueva clave. Escanea el código QR y verás que aparece en la pantalla de tu móvil un código de 6 cifras con una cuenta atrás de 30 segundos. Cada vez que pasan esos 30 segundos el código cambia.
Pulsa sobre siguiente en la web de dropbox. Te pedirá que introduzcas el código que te aparece en la app para comprobar que la configuración ha ido bien.
¡Listo! ya has configurado tu primera autenticación en dos pasos.
Estas tres empresas, entre otras, están impulsando tecnologías que permitan que nos olvidemos de las contraseñas, que eran un sistema útil en el pasado, pero se ha vuelto muy vulnerable por la cantidad de contraseñas que necesitamos, lo que hace que acabemos usando la misma para todo.
Cada una de ellas, ahora mismo estan usando métodos distintos, aunque han creado una alianza para conseguir un estándard. Mientras tanto sus apps ofrecen tres aproximaciones distintas e interesantes a la vez:
Este sistema es equivalente a los de la clave temporal, solo que, digamos, que la clave temporal se introduce sola al tocar la llave una vez insertada. Sin embargo aun son pocas las webs que permiten el uso de estos dispositivos y están mas enfocados a la seguridad empresarial que a la de los usuarios finales.
1 Comment on “La verificación en dos pasos”