Google elimina el envío de SMS como segundo factor
Hola, recientemente Google ha publicado una noticia de mucha importancia pues elimina el uso de SMS como segundo factor de autenticación. Lo importante de todo esto es llamarnos la atención sobre la importancia de usar la autenticación de doble factor y lo simple que es mejorar la seguridad de nuestras cuentas de Google en particular y de todas nuestras cuentas en general.
Para el proceso de autenticación podemos usar algunas de estas aplicaciones Google Authenticator, Latch o Authy, algunas de ellas tratadas en el blog y Latch la revisaremos ahora.
Bueno el proceso es muy simple, por lo que os animo a que lo pongan en marcha ya que es muy fácil que vuestras cuentas se encuentren filtradas en Internet, es decir que fueran hackeadas en algún servidor en el que os registrasteis.
¿Que significa esto?
La autenticación usando el segundo factor, es actualmente una de las mejores formas de asegurarnos la seguridad de nuestras cuentas. Esto lo tratamos en el blog y hoy volvemos a retomar el tema ya que Google ha anunciado que dejará de usar los SMS como forma de autenticación.
Cuando activamos el segundo factor y Google tiene nuestro número de móvil, lo que hace es que nos envía un SMS con un código G-XXXXX, sin embargo debido a la alta posibilidad de clonado de las tarjetas de los móviles, los SMS como medio de autenticación se están reemplazando por la autenticación por aplicaciones o usando llaves físicas.
El segundo factor
El segundo factor cómo bien se explica en la web de Google, consiste en agregar un paso extra en el acceso a nuestras cuentas. Esto significa que además de usuario/contraseña tendremos que agregar una secuencia de números que tienen validez temporal y que solo pueden ser creados con la aplicación vinculada a la cuenta.
Normalmente el uso de este segundo factor es crítico cuando usamos nuestra cuenta en un dispositivo que no es de confianza, por ejemplo la primera vez que lo usemos se nos preguntará si ese ordenador que estamos usando es de confianza o no, en cualquier caso esa "marca" se hace mediante cookies que al limpiar el navegador de internet se perderá y la próxima vez se nos volverá a pedir los números.
Existen muchos servicios que pueden emplear el segundo factor y es por ello muy importante su activación para garantizar la seguridad de los accesos, por ejemplo en cuentas de Instagram, amazon, etc
¿Como comprobamos si nuestro número de móvil esta registrado como segundo factor?
Para poder comprobar la configuración de segundo factor solo tenemos que acceder a nuestra página personal en Google y una vez aquí vamos a la pestaña de seguridad donde veremos como activar el segundo factor de autenticación y las opciones que tendremos para autenticarnos.
Aquí podremos encontrar el registro del móvil y podremos configurar el segundo factor o llave de Seguridad.
Antes de pasar a la autenticación por software como llave, vamos a revisar el caso de autenticación por hardware, en este caso es un dispositivo físico el que se encarga del proceso, pudiendo ser llaves USB o bien nuestro móvil que lo hace conectando por bluetooth.
¿Autenticación por hardware?
Las llaves USB cómo método de autenticación puede estar bien, pero a veces ser algo complicado de usar, por ello una buena opción es usar algo que siempre llevamos encima, nuestro móvil ya sea Android o IOS.
Como lo que estamos asegurando es una cuenta de Google, el entorno de Android tiene integrado el proceso si usamos un móvil Android, sin embargo en el caso de IOS tenemos que descargar la aplicación de la store.
En el caso de IOS la aplicación que nos muestra es algo como esto y su funcionamiento es tan simple como que cuando intentamos entrar en nuestra cuenta de google, se nos pedirá además del usuario/contraseña la aceptación mediante un click en la aplicación. El proceso de vinculación es muy simple de hacer.
Cuando usamos un móvil Android los pasos son bastante simples sin necesidad de descargar ninguna aplicación, pero si teniendo que activar la seguridad de segundo factor.
El funcionamiento es muy simple, pues cuando activamos el segundo factor se crea un código bidi que escaneamos con la aplicación que usemos para obtener el segundo factor, a partir de ahí se vincula la cuenta con la aplicación.
¿Como usamos Latch como autenticador?
Latch es un desarrollo español apoyado por Telefónica y que tiene la gran ventaja de darnos una capa extra de seguridad, ya que no solo nos da los códigos del segundo factor sino que también en algunos servicios integrados con Latch, podemos controlar el acceso a estas cuentas, por ejemplo en Movistar.
Para usar Latch descargamos la aplicación y nos registramos como usuarios y luego veremos que en la pestaña TOTP se encuentra la opción para usar la aplicación como generador de códigos para el segundo factor.
¿Y que ocurre si perdemos el móvil?
Pues al disponer de un método de registro, Latch puede ser instalado en otro dispositivo y a partir de ahi recuperar el acceso a todas nuestras cuentas protegidas. Hay que tener en cuenta que el usuario/contraseña que usamos en servicios como Latch o Authy no están relacionados con las "semillas" que dan acceso a nuestras cuentas.
Como ejercicio buscar vuestro email o vuestra password para comprobar si se ha filtrado, os va a sorprender el resultado
Saludos
Pedro.