Seguridad de nuestras cuentas (2FA)

La seguridad de acceso a un servicio se basa en dos factores:
  • Algo que sabemos
  • Algo que tenemos.
Pensar en nuestra casa, sabemos donde vivimos y tenemos las llaves para poder entrar a ella. En el caso de la informática se intenta replicar la misma idea, aunque esta claro que aún más seguro es si tenemos dos llaves en nuestra casa o si tenemos más de una puerta de acceso.

Lo que sabemos

Nuestro primer problema es la contraseña...¿qué pongo que no se me olvide?…esto es algo que sabemos, pero que ovbiamente para que no se nos olvide solemos hacer muy simple.
Pues hay reglas para crear contraseñas y luego aplicándolas se recuperan. como ser: un año + el nombre del servicio + caracteres extraños + nombre de un lugar. Sin embargo esto no es cómodo ni resulta ser seguro, por lo que la recomendación es crear una contraseña basado en  reglas de seguridad, que contenga mayusculas, números, caracteres, etc.

Por tanto, aquí tenemos dos problemas a resolver crear la contraseña y donde la guardo. En el primer caso podemos usar servicios como este:

https://www.lastpass.com/es/password-generator

o mejor aún si tenemos una aplicación que nos guarde las contraseñas y también genere nuevas, sería lo ideal y si lo podemos tener en el móvil, mejor que mejor. Pues para ello recomiendo dos aplicaciones/servicios gratuitos que son:

1password y lastpass

Pero nada es tan fácil, pues en este caso tendremos que recordar una contraseña maestra que nos dará acceso al conjunto de contraseñas, pero esto es menos complicado que recordar complejas contraseñas.
Estas aplicaciones crean un almacén donde están las contraseñas guardadas y que sólo se abre con nuestra clave maestra y de ahí la importancia de que esta clave sea, larga y fácil de recordar por nosotros.

Cuando hemos aplicado nuevas contraseñas en nuestras cuentas, podemos ir al siguiente paso para asegurar aún más nuestros servicios pues la experiencia nos ha demostrado que TODO se filtra y de hecho os animo a poner vuestro email en esta web que consulta en una base de datos y nos muestra si hemos sido vulnerables:

https://haveibeenpwned.com/

Por ejemplo, en este caso se ha filtrado el email y la contraseña del usuario por lo que lo lógico es cambiar la contraseña rápidamente y si re-usamos la contraseña en otro sitio, lógicamente debemos cambiarla.



Otro servicio muy interesante es el que nos da Firefox a través de monitor, https://monitor.firefox.com/, el que mediante el registro de nuestro email nos avisa cuando aparecemos en alguna lista enviándonos un email con la información que se ha filtrado y el servicio comprometido.




El siguiente paso es agregar otro nivel en la seguridad de los servicios que usamos, como actualmente lo hacen los bancos enviando un sms cada vez que necesitamos hacer alguna operación. Esto es el segundo factor de autenticación y es una medida muy recomendable para muchos servicios, como Gmail, Outlook, dropbox, etc.


Lo que tenemos…vamos hacia el segundo factor, 2FA.
Aqui, vamos a separarlo en dos partes pues la tendencia actual es a usar nuestro movíl mediante mensajes SMS, como lo hace el banco enviandonos una secuencia de números o bien obtenemos estos números con una aplicación y la segunda opción una llave física, que suele ser en formato USB.

El SMS
En principio este sería un buen sistema de validaciñon para mostrar que somos nosotros, pero tiene un par de inconvenientes: ¿Que ocurre si estamos fuera de nuestro pais y sólo tenemos WIFI en el movil? , ¿Que ocurre si alguien duplica nuestra SIM y se hace con una copia de nuestra linea?
En principio estos problemas se solucionan y se resuelven si usamos una aplicación en nuestros moviles que nos de esos números.

Aplicación para el 2FA
La idea es que se crea una secuencia de números asociados al servicio que vamos a usar cuya caducidad es de segundos, de manera que después de un tiempo ya no son válidos y por tanto esta es la capa de seguridad que necesitamos pues aunque alguien conozca el usuario y la contraseña, necesitará tener esta secuencia de números.

Bien, esta secuencia de números la crea una aplicación que se instala en nuestro móvil o como aplicación en nuestro escritorio de windows y aquí mi recomendación es Authy , ya que mediante un registro muy rápido y usando nuestro número de móvil como señuelo en el proceso podemos disponer de una herramienta en todos los entornos.
El proceso de uso es muy fácil y de igual forma como en el gestor de contraseñas, tendremos que tener una clave maestra para la base de datos que contiene las semillas de los servicios necesarios para crear los token al momento de entrar en los distintos servicios.
Otras aplicaciones muy conocidas son: Google Authenticator y Microsoft Authenticator

Llaves USB para 2FA (Smart Lock)
Las llaves de seguridad USB, son la parte más parecida a las llaves de nuestra casa pues es algo que debe ir con nosotros pues cada vez que necesitemos entrar a un servicio en Internet, la necesitaremos. Sin embargo se han ido reemplazando por los propios moviles que en lugar de conectar físicamente al ordenador lo hacen a través de Bluetooth. En el caso de los moviles Android modernos la aplicacion esta ya instalada en el sistema y sólo nos queda activarla en Ajustes, sin embargo en el caso de los Iphone es necesario instalar la aplicación de la AppleStore. El correcto funcionamiento en este caso esta garantizado en browser como Chrome o Brave, seguramente también el futuro Edge que estará basado en Chrome.

¿Dónde puedo usar un segundo factor?

Aquí podemos encontrar una lista de servicios:  https://authy.com/guides/


Saludos,

Pedro,