Autenticando en dos pasos

Google two step authenticationA pesar de leer mucho y de tratar de mantenerme actualizado sobre el tema de la seguridad, no soy una persona especialmente cuidadosa con ella. Es una de esas cosas que sabes que haces mal, pero que tiendes a posponer constantemente, como si algún día fuese a solucionarse sola. Soy consciente de que lo que hago es bastante inconsciente, si se me permite el juego de palabras, y no tengo ninguna duda de que si alguien mínimamente preparado tuviese una verdadera motivación para acceder a mi información, a mis cuentas o a mis dispositivos, sería para él o ella un verdadero juego de niños y me podría generar bastantes problemas.

Durante mucho tiempo pospuse activar la autenticación en dos pasos de la mayoría de las aplicaciones que utilizo, simplemente porque manejo un complejo conglomerado de dispositivos entre los que se incluyen múltiples ordenadores de decenas de aulas en IE Business School en los que habitualmente hago login para dar mis clases, y la idea de esperar por un mensaje con una clave para tener que teclearla y poder finalmente iniciar una sesión me parecía verdaderamente farragosa. De hecho, no han sido pocas las ocasiones en que me he ido de un aula tras terminar mi clase, en medio del lío que se organiza entre que recojo mis cosas, los alumnos me preguntan dudas y el siguiente profesor intenta empezar la suya, olvidando hacer logout en, por ejemplo, mi correo electrónico, y he tenido que recurrir al cierre en remoto de sesiones en Gmail (bajo la bandeja de entrada, en la parte inferior de la página, esquina inferior derecha, haz clic en “Details”… de nada! :-)

Hace algunas semanas, me encontré una noticia en Mashable, Google’s two-factor authentication is now a breeze to use, que me llevó a un anuncio de Google, New settings for 2-step verification, y decidí ponerlo a prueba. No suelo escribir de este tipo de cuestiones cuando las veo, prefiero probarlas primero y ver el resultado, y la verdad, me ha funcionado fantásticamente bien. Intrusividad mínima, funcionamiento absolutamente instantáneo: cuando intento logarme en una máquina diferente a las habituales, en un servicio menos frecuente o en alguno que requiera más seguridad, el recuadro que veis en la ilustración aparece en la pantalla. Le das al botón azul, y simplemente desbloqueas tu smartphone, abres la app de Google, y confirmas, en mi caso, con mi huella. Un instante, y un nuevo nivel de seguridad añadida.

El uso del smartphone para la identificación es algo que está en sus inicios, pero que resulta decididamente prometedor. Es un ordenador en miniatura que llevo siempre en mi bolsillo, que no salgo prácticamente nunca de casa sin él, y en el que me autentico con un nivel de seguridad que obviamente no es infalible (la seguridad total no existe), pero que me resulta infinitamente superior al que supone que alguien simplemente mire la foto en mi DNI o en mi pasaporte, ambas fotos hechas en una época en la que pesaba veinte kilos más y estoy prácticamente irreconocible. De hecho, el momento del embarque en un avión me resulta especialmente paradójico: muestro la tarjeta de embarque en mi smartphone, pero tengo que exhibir también un documento físico infinitamente menos seguro y potente que la prueba de identificación que podría hacer mediante ese dispositivo. ¿Para cuando un sistema de identificación de personas basado en las capacidades de esos smartphone que cada vez más personas llevan siempre encima?

Si no habéis probado la nueva autenticación de dos factores de Google, os la recomiendo. Una manera sencilla de obtener un nivel adicional de seguridad. Y también de reflexionar sobre algunas cosas!

 

 

This article is also available in English in my Medium page, “Let’s do the Google verification two-step!

 

22 comentarios

  • #001
    Manuel - 7 julio 2016 - 15:57

    Implementar la doble autenticación en la empresa en la que trabajo -que además tiene el componente de las sedes en practicamente todos los paises de latinoamérica-, fue contra todo pronóstico muy sencillo. Y tiene el doble efecto: para los SysAdmins nos permite saber que hemos mejorado un poquito la seguridad de algunas herramientas Google-based, y para los usuarios, les hace tomar conciencia de “esa cosa rara” llamada seguridad.

  • #002
    Carlos Quintero - 7 julio 2016 - 19:17

    Gracias Enrique, he instalado la Google app y ya lo he activado en mis 3 cuentas de Google.

    También uso Google Authenticator con Google y con muchos otros servicios, ya que en mi caso soy muy consciente del tema de la seguridad (incluso he llegado a cambiarme de registrador de dominios a uno que sí admitía 2FA solo por este motivo).

    He extendido esta sana “paranoia” por la seguridad y 2FA a las cuentas y dispositivos de mi mujer con su móvil y funciona de forma transparente para ella pero porque toda la configuración se la he hecho yo.

    Me temo que el 2FA sigue siendo complicado para el común de los mortales. Por un lado, está la mentalidad del “no tengo nada importante ni nada que ocultar”, ignorando que todo el mundo tiene una cuenta bancaria seguramente asociada a su dirección de correo electrónico y móvil. Creo que ni los sonados casos de famosos hackeados han hecho que la concienciación por la seguridad aumente. Por otro lado, sigue siendo complicado de entender y configurar por la multitud de servicios (Microsoft, Google, Apple, Paypal, Facebook, LinkedIn,, etc.) y de opciones principales y de opciones de backup (llegando incluso a los códigos impresos…). Yo he renunciado a configurárselo a otros familiares para no tenerles que dar soporte si se lían ;-). Lo que sí me parece lamentable es el desconocimiento de 2FA a nivel profesional de TI en las empresas…

  • #003
    DANN ELIO 101 - 7 julio 2016 - 20:23

    Y entonces con este sistema..si en un día de muchas prisas..va y te dejas el smartphone en casa o en el coche…que a cualquiera nos puede pasar…
    SITUACION 1: Con el LOGIN de toda la vida pones tu US y tu PW..y empiezas trabajar como si nada..ya consultaras tus mensajes cuando vuelvas…El caso es que puedes seguir trabajando desde el ordenador de tu trabajo-instituto-universidad-o academia…Y aquí no ha pasado nada..
    SITUACION 2: Salgo con mi nuevo ( que no sé si mejor ) sistema 2PASOS..y ya delante del flamante ordenador de mi trabajo..y éste me envía un flamante SMS (imprescindible xa acceder? ) a mi flamante smartphone ( x descuido en casa)…Vamos que si hoy necesitas trabajar ordenador..Pues flamantemente te j***s y te aguantas.
    Pues también puede tener sus inconvenientes este sistema , ya lo podemos llevar el móvil «soldao» a la mano las 24h xa q todo vaya bien..¿ no os parece ? ¿O qué es lo que lo que yo no he entendido de este novedoso sistema? Que alguien me lo explique x favor. Gracias y Saludos «veraniegos» a tod@s :-)

    • Enrique Dans - 7 julio 2016 - 21:01

      No. Me temo que lo has criticado antes de mirártelo :-) Lee, lee… hay soluciones para todo!

      • DANN ELIO 101 - 7 julio 2016 - 21:22

        Falta de lectura por mi parte. Estoy ahora con ello. Gracias x responder…y por el LINK.!!! :-)

  • #006
    Pablo Roca - 7 julio 2016 - 21:03

    “Security is a feeling, you must enable to your users to feel enough secure” (by me)

    :)

  • #007
    Gorki - 7 julio 2016 - 22:37

    Medidas de seguridad, son aquellas cosas que implementamos, DESPUÉS de que ocurra lo inesperado.

  • #008
    mek - 7 julio 2016 - 23:28

    Enrique, ya que lo has comentado en tu artículo, una duda desde mi ignorancia.
    ¿No os produce inseguridad utilizar como pass la huella digital?.
    Las empresas te la almacenan, y tú ya no te la puedes cambiar. ¿Como evitas futuros accesos con tu huella?
    Saludos

    • Enrique Dans - 7 julio 2016 - 23:39

      No es tan así. Apple no almacena mi huella digital, solo está entre mi dispositivo y yo, y con un nivel de cifrado importante que evita que alguien simplemente “la robe y la use”. Toda la biometría está sujeta a esa preocupación, pero se intenta superar mediante ese tipo de procedimientos, compartimentando y cifrando. Mi huella dactilar, en realidad, es algo que voy dejando por todas partes, que está en mil ficheros (en la Policía española cuando me hice el DNI, o en todas las veces que he entrado en los Estados Unidos, que me la han tomado, y no una, sino las diez!) y que no resulta especialmente complicada de clonar mediante baja tecnología (con plastilina, sin ir más lejos), pero ofrece muchísima más seguridad que una simple foto o un garabato hecho con un boli, así que me encuentro más seguro con ella que con otras cosas…

      • Pedro - 8 julio 2016 - 01:19

        Tengo entendido que en alguna capa de software de Android de la memoria intermedia es posible acceder a la huella digital. Corrígeme si me equivoco. Me suena haber leído algo al respecto. Gracias.

  • #011
    TONI - 8 julio 2016 - 06:47

    Es mejor usar Authy. Sirven los códigos de google pero además se encarga de hacer copia en la nube de tus códigos, y la puedes sincronizar entre varios dispositivos. Con el Google Authenticator tienes que hacer los backups a mano (copiando los QR) y si lo pierdes y no has hecho copia es un desastre.

    • Enrique Dans - 8 julio 2016 - 07:31

      Hmmm… ¿qué QR? ¿Qué backups? Yo hablaba acerca de la verificación en dos pasos mediante una app en el smartphone, nada más… no he usado un código QR para nada (y seguramente si tuviese que hacerlo, desecharía esa opción! :-)

  • #013
    Isangi - 8 julio 2016 - 08:13

    Pues, como soy de los de “culo veo culo quiero” y me pasaba como a ti, “ostias tengo que mejorar la segurdad de la cuenta de google” pero siempre era un “mañana lo haré”.

    HECHO!

    Detalle que a alguno le puede costar de ver: Cuando activas la doble verificación, antes de activar la opción de hacerlo con la app de google en el smarthphone, hay que mirar el smartphone que te estará diciendo que te valides con esa doble autentificación, sino cuando pretendes activar la validación del movil te dice que no tienen movil con sesión iniciada.

  • #014
    Alfonso - 8 julio 2016 - 08:54

    Interesante y recomendable entrada Enrique.

    Es una pena que la Comisión Europea y su PSD2 no sean tan pragmáticos, llevamos tiempo intentando implantar algo así para las compras en comercio electrónico seguro en España y la normativa te lo impide. Te obliga a que tengas que generar, enviar y el usuario introducir una OTP (one time password). Esto si quieres hacer las cosas bien y de acuerdo a la norma, hay muchos que la normativa se la saltan todos los días.

    Cuando a mi me parece que un método similar al de Google es más que válido y muy amigable. Bastante es que tengas que autenticarte en tu dispositivo móvil, con huella, clave, patrón o lo que sea.

    • Isangi - 8 julio 2016 - 09:20

      Entiendo según lo que dices que amazon se salta esa norma ¿no?

  • #016
    Felipe - 8 julio 2016 - 09:14

    Hola.
    ¿Nadie piensa en el control? Les estamos dando en bandeja de plata la posibilidad de enlazar nuestro perfil en la web con nuestro número de teléfono móvil. En la web puedas usar un identificador ficticio, pero con la seguridad en dos pasos, el número de móvil es real… Es como esa estupidez que se ha inventado Google para darte de alta en su correo: la necesidad de introducir un número de teléfono.

    ¿Cuestión de seguridad? ¡JA! Control de nuestros datos. Me niego rotundamente a utilizar la verificación en dos pasos.

    • Julio - 8 julio 2016 - 11:32

      Precisamente para eso tengo un movil de pruebas barato, barato, que sólo llama y manda sms para esos menesteres, que lo enciendo cuando hace falta, y no pongo el principal.

  • #018
    Jose Antonio Garcia - 8 julio 2016 - 10:53

    Lo normal es que la información que se maneje via gmail, aunque os roben la cuenta, no comprometa vuestra seguridad, ya que el correo es un sistema no seguro por definición.

    Por si os interesa, este sistema está desde 2012,

    http://www.genbeta.com/correo/que-es-la-verificacion-en-dos-pasos-de-gmail-y-por-que-es-importante-activarla
    http://www.elladodelmal.com/2014/08/google-authenticator-no-te-avisa-de-que.html
    https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/
    http://gizmodo.com/how-hackers-reportedly-side-stepped-gmails-two-factor-a-1653631338

    • Enrique Dans - 8 julio 2016 - 11:10

      El sistema de verificación en dos pasos está activo desde 2012. La modificación que le quita molestias y la convierte en algo de verdad sencillito y cómodo de usar está desde hace un par de semanas, de ahí mi entrada…

      • Jose Antonio Garcia - 8 julio 2016 - 11:35

        Gracias por la info.
        Si está claro desde el 20 Junio.
        Tampoco antes es que fuera “rocket science”
        Además en Android, sin hacer nada, hace eso unas 2 semanas, pidieron que confirmaras cuenta con envio de código via SMS. Creo que en el fondo es lo mismo.

        PS: Venga punto positivo a Google…

    • Isangi - 8 julio 2016 - 16:32

      Pero eso no es solo para GMAIL es para todo el entorno de Google, Drive, G+, busquedas, administrador de moviles android, etc…

      Y en Drive si es fácil que muchos tengan información muy sensible…

  • #022
    moleskinedition - 8 julio 2016 - 17:28

    Tal vez Enrique también te interese Latch (un pestillo digital de 11paths) que puedes controlar desde el móvil.

    Existen implementaciones para distintas plataformas, a mí desde luego me parece bastante interesante y útil.

    Cuidado con usar 2FA puesto que no es tan seguro cómo parece:

    http://www.theregister.co.uk/2016/04/08/google_android_2fa_breakable/

    http://arstechnica.com/security/2014/08/paypal-2fa-is-easily-bypassed-teenage-white-hat-hacker-says/

    Un saludo,

Dejar un Comentario

Los comentarios están cerrados