Activa la autenticación en dos factores (TOTP), no dejes para mañana lo que puedes proteger hoy.

Bueno, vuelvo con esto porque leyendo un articulo he visto que lo que para mi me resultaba obvio, no lo es tanto las noticias de filtraciones de cuentas en Bancos y webs en Internet no va a parar, por lo que lo único que nos queda es evitar ser vulnerables.

A buscarnos...

Vamos al tema, esta claro que si averiguan nuestro usuario y nuestra contraseña que se ha filtrado y lo hemos comprobado con estas webs: 

https://haveibeenpwned.com/

https://password.kaspersky.com/es/

Cualquiera de ella nos indicará si la contraseña no es buena o se ha filtrado ya.




De la wikipedia...

La autenticación de múltiples factores (AMF), más comúnmente conocida por sus siglas en inglés MFA (Multi Factor Authentication), es un método de control de acceso informático en el que a un usuario se le concede acceso al sistema solo después de que presente dos o más pruebas diferentes de que es quien dice ser. Estas pruebas pueden ser diversas, como una contraseña, que posea una clave secundaria rotativa, o un certificado digital instalado en el equipo, biometría, entre otros.

La autenticación de dos factores (A2F), también usada la sigla inglesa 2FA (de two-factor authentication), es un método que confirma que un usuario es quien dice ser combinando dos componentes diferentes de entre: 1) algo que saben; 2) algo que tienen; y 3) algo que son. Es el método más extendido en la actualidad para acceder a cuentas de correo como las de iCloud o Gmail, pero generalmente se solicita que el usuario active voluntariamente esta capa de protección adicional.

Un ejemplo de la vida cotidiana de este tipo de autenticación es la retirada de efectivo de un cajero automático. Solo tras combinar una tarjeta de crédito —algo que el usuario posee— y un pin —algo que el usuario sabe— se permite que la transacción se lleve a cabo. Otro ejemplo ocurre en las redes sociales como Facebook, WhatsApp o Instagram, usar la verificación en dos pasos hace que prácticamente un hacker te pueda quitar tu cuenta. Pues, aunque entre en tu cuenta cambie tu mail y contraseña, tu tendrás la oportunidad de demostrar que la cuenta es tuya a través de esas 2 contraseñas.​

La autenticación en dos pasos o verificación en dos pasos es un método de confirmar la identidad de un usuario utilizando algo que conocen (contraseña) y un segundo factor distinto a lo que sean o posean. Un ejemplo de un segundo paso es que el usuario tenga que introducir algo que le sea enviado a través de un medio alternativo, o que tenga que introducir una serie de dígitos generados por una aplicación conocida por el usuario y el sistema de autenticación.


Siguiente paso

Una vez que sabemos que esta filtrado, debemos ir cambiar la contraseña y escribir algo difícil de ser encontrada, para ello lo mejor los gestores de contraseña.

Pero una vez hecho esto lo que debemos hacer es activar el segundo factor y aquí esta claro que lo simple es indicar que nos envíen un sms al movil, pero esto no es seguro.

Aunque el SMS es mejor que nada, se recomienda utilizar métodos más seguros, como aplicaciones autenticación o llaves de seguridad física. Como las llaves tienen coste y no todos los sistemas los usan, vamos por las aplicaciones de autenticación.

Asi que nos queda activar el segundo factor en las cuentas, pero no con SMS sino con TOTP o Time-base One-time Password, la idea es la misma que el SMS un número que es válido por un tiempo y luego cambia, pero que no llega a un dispositivo, sino que esta dentro de nuestro gestor de contraseñas.


El Time-based One-time Password (TOTP) es un algoritmo que proporciona una mayor seguridad en Internet. Aquí tienes algunos detalles sobre cómo funciona:

  • ¿Para qué se necesita TOTP? Las contraseñas comunes, aunque seguras, presentan un inconveniente: una vez alguien más conoce la secuencia de caracteres, la seguridad desaparece. TOTP resuelve esto generando contraseñas válidas solo durante un breve periodo de tiempo. Estas contraseñas únicas son populares como parte de la autenticación multifactor. En el inicio de sesión en un servicio web, los usuarios utilizan su contraseña personal fija y, además, se genera una contraseña especial para ese proceso de inicio de sesión durante un periodo limitado. El usuario la recibe a través de una app o un dispositivo especial (token). 

  • ¿Cómo funciona el algoritmo TOTP? La base del TOTP es una función hash. Se genera un valor de 160 bits (20 bytes) que luego se reduce a 31 bits mediante dynamic truncation. Este valor se combina con un contador de tiempo (generalmente en intervalos de 30 segundos) y se aplica una función hash para obtener un código TOTP de 6 u 8 dígitos. 


Vamos a ello

Para que veáis lo simple que es, os dejo el video de Proton Pass



Una vez que tenemos nuestra ficha veremos el apartado de TOTP, esto funciona con una cadena de números que podemos copiar libremente entre gestores de contraseñas o cuando falla ele reconocimiento del QR.

Por ejemplo con Google:


Por cierto, cada cambio que hagáis será notificado por un email a vuestra cuenta.

Y recordemos que el TOTP se copia en la zona de 2FA, también si instalamos la aplicación en el movil a podremos escanear con la cámara y todo más fácil:


 

Lo que debemos buscar es mediante aplicación de terceros y esto nos dará la semilla para vincularlo a nuestra aplicación.

En instagram, por ejemplo: 

Para activar la autenticación de dos factores (2FA) en Instagram, sigue estos pasos:

  1. Abre la aplicación de Instagram y ve a tu perfil tocando el icono del perfil en la esquina inferior derecha de la pantalla.
  2. Una vez en tu perfil, toca el icono del menú en la esquina superior izquierda de la pantalla (se parece a tres líneas horizontales).
  3. En el menú, selecciona “Configuración” en la parte inferior de la lista.
  4. Desplázate hacia abajo hasta que veas la sección “Autenticación de dos factores”.
  5. Activa la opción y elige si deseas recibir tu código de verificación por SMS o mediante una aplicación de autenticación de terceros.
  6. Ingresa el código que recibas y habrás activado la autenticación de dos factores en Instagram.
Espero que esto os aclare más el uso del TOTP y las ventajas para la seguridad de nuestras cuentas.

Saludos

Pedro