El uso de nuevos estándares de seguridad hace que las contraseñas que utilizamos habitualmente vayan quedando de lado. Es por ello que surgen nuevas formas de autenticación conforme a nuevos dispositivos ingresan al mercado, sean productos de seguridad, comunicaciones o dispositivos IoT.
Por Osvaldo Calegari*
Lo que sí tienen en claro los fabricantes es lograr un estándar de seguridad común que evite invertir millones de dólares en rectificaciones de productos por estas fugas.
En el mercado diversas firmas de amplia experiencia y reputación nos aconsejan diversos métodos para asegurar la información. Actualmente el uso de contraseñas fue perdiendo fiabilidad paulatinamente debido a la facilidad del robo de las mismas mediante phising y herramientas de hacking. Esto obliga a las empresas prestadoras de diversos servicios web caso correo electrónicos, páginas, nube y demás a implementar nuevos procesos que aumenten la seguridad del usuario de manera de poder fidelizarlo en el tiempo.
Verificación de dos pasos.
Para reforzar el acceso de usuario a una cuenta de correo personal diversos proveedores mundiales de servicios de correo como Gmail y Yahoo implementaron la verificación de dos pasos.
Para acceder a una cuenta de correo con un sistema normal de seguridad, basta con introducir nuestra dirección y nuestra contraseña. Pero, ¿qué ocurre si alguien se hace con nuestra clave de acceso por el método que sea? Aquí es donde cobra sentido la figura de la “verificación en dos pasos” que es muy útil para evitar intrusiones no deseadas.
La verificación en dos pasos, tal y como la define Google, precisa de dos factores: algo que sabes (tu contraseña) y algo que tienes en tu poder, potencialmente un código que se envía a tu teléfono. De esta manera, se necesitan ambos para poder acceder. De nada sirve tener sólo la contraseña. Es algo similar a lo que ofrecen algunos bancos en sus servicios online, que además de pedirte un código de identificación solicitan un a clave que está en una tarjeta física que tenemos con coordenadas formada por letras y números.
Cómo funciona y se generan los códigos
Sobre la contraseña hay poco que añadir, todos estamos familiarizados con esta forma de identificación, pero, ¿cómo funciona el segundo código que hay que introducir? Para recibirlo, tenemos dos opciones:
- A través de un SMS o una llamada de voz directa a nuestro teléfono.
- A través de la aplicación Google Authenticator, disponible para Android e iOS.
Seguro que más de uno está pensando en lo incómodo que tiene que ser el solicitar un código cada vez que vamos a acceder a nuestra cuenta de correo. Pues bien, no es necesario, ya que Gmail nos permite recordarlo en un dispositivo durante 30 días o incluso de manera permanente. De esta manera, si iniciamos frecuentemente sesión desde nuestro ordenador no nos lo pedirá, mientras que si alguien intenta hacerlo desde otro distinto sí necesitará introducirlo.
¿Y qué ocurre con el resto de aplicaciones? Gtalk, por ejemplo, no permite introducir un código de verificación. Lo mismo ocurre si tenemos configurada nuestra cuenta desde alguna aplicación en el teléfono. Para estos casos, Gmail permite crear unas contraseñas específicas para aplicaciones. Cada una de ellas es única y desde la cuenta principal podemos revocarles el permiso si así lo deseamos.
Terminamos este apartado con otra pregunta bastante frecuente: ¿qué pasa si quiero acceder a mi cuenta, no tengo el código de verificación y no tengo el móvil a mano? Desde Google saben que puede ser una posibilidad, así que ofrecen una tarjeta con diez códigos de un sólo uso para imprimir al configurar la cuenta y que el usuario puede llevar consigo. Si alguien la descubre, aún necesita saber la contraseña así que es un método relativamente seguro.
Cómo activarlo en nuestra cuenta Gmail
Ya hemos visto las ventajas de la verificación en dos pasos, y ahora vamos a ver cómo activarla en nuestra cuenta Gmail. Estando identificados, seleccionamos nuestro correo en la parte superior derecha de la ventana y accedemos a Configuracción de la cuenta. Desde allí, en el apartado Seguridad, podemos ver si tenemos activo este sistema. Para activarlo, vamos a Editar. Nos pedirá la contraseña otra vez y después iniciamos la configuración.
Ahora llega el momento de introducir en qué teléfono deseamos recibir el código de verificación, ya bien sea por SMS o llamada. Una vez recibido, lo introducimos para seguir con la configuración. Además, aquí nos ofrece la opción de decir que nuestro equipo es un ordenador de confianza. Es importante sólo seleccionar esta opción si de verdad lo es, y no hacerlo por ejemplo en un ordenador público o que utilizan más personas.
Si deseamos no recibir mensajes ni llamadas y en su lugar queremos utilizar las aplicaciones que mencionábamos en los párrafos anteriores, de nuevo vamos a editar la Seguridad de nuestra cuenta y la verificación en dos pasos. Para activar la aplicación, tenemos que descargarla primero y después escanear el código QR que se muestra en pantalla. Nos devolverá un código para confirmar que la aplicación está correctamente instalada y configurada en nuestro móvil.
Desde el mismo apartado podemos acceder a los códigos de seguridad imprimibles y también a las contraseñas específicas para aplicaciones. Para esto último seleccionamos Administrar contraseñas específicas. Podemos introducir un nombre para cada una y así saber para qué se está utilizando cada contraseña específica. Nos aparecerá un nuevo cuadro con la nueva contraseña, que deberemos introducir en la aplicación a la que deseemos permitir el acceso a nuestra cuenta de correo. Desde ahí podemos revocar los permisos de la contraseña en cualquier momento.
Según Globalsign
Una opción vital para mantener más seguras nuestras cuentas
Aunque puede parecer a priori un incordio de utilizar y de configurar, la verficación en dos pasos es muy útil y realmente está pensada para darnos una capa más de seguridad sin complicarnos demasiado la vida. La opción de recordar el código por 30 días es muy útil y además ahora con la aplicación para móviles no tenemos que preocuparnos por andar pendiente de SMS o llamadas.
Opciones de Implementación
Flujos basados en navegadores: Se emite una credencial digital de confianza para una identidad de individuo o departamento y se almacena en un dispositivo (por ejemplo, una computadora o celular). Posteriormente, el dispositivo utiliza la credencial para autenticar su acceso al servidor. El certificado solo puede utilizarse desde un navegador específico, máquina, computadora, portátil o servidor.
Flujos basados en FIPS
El uso de un dispositivo USB evita que la credencial quede vinculada a una única máquina. Se emite una credencial digital de confianza para una identidad de individuo o departamento y se almacena de forma segura en:
Requisitos de Seguridad de Servidor: Es posible establecer distintos niveles de autenticación en función de la solidez y granularidad de la autenticación necesaria.
La granularidad hace referencia a la capacidad de determinados servidores de identificar a usuarios individuales durante toda la sesión o únicamente durante la primera solicitud. Un sistema muy granular resulta muy útil si es necesario contar con autorizaciones o asignación de responsabilidades específicas para cada usuario. Los sistemas menos granulares resultan más adecuados cuando se desea preservar el anonimato del usuario de forma parcial.
El dispositivo puede conectarse a un puerto USB sin necesidad de contar con un costoso lector.
Características y Beneficios
- • Evita accesos no autorizados y mejora la seguridad existente
- • Contribuye a cumplir las políticas de seguridad corporativas en materia de correos electrónicos y la legislación
- • Es capaz de encapsular criptográficamente una identidad dentro de una ID digital
- • Puede utilizarse para autenticar identidades en un navegador interno dentro de VPNs, en tecnologías de tarjetas inteligentes, aplicaciones en la nube y dispositivos móviles
- • Solución rentable para empresas de todos los tamaños
- Articsoft nos da su visión
La mayoría de los sistemas de seguridad de contraseñas actuales para Internet son erróneas. Diseños que eran casi aceptable hace 10 y 15 años no han sido actualizados. En lugar de mover a la integración de los servicios de autenticación bajo un enfoque de sonido criptográficamente la industria de TI ha seguido proliferando múltiples sistemas incompatibles. Los usuarios están cada vez más expuestos por los proveedores que no sienten la presión de hacer algo mejor. Hay un paralelismo con la situación en la página del sitio web de los métodos de diseño son cada vez más rechazados por el software de seguridad, ya que representan los fallos de seguridad conocidos que han sido explotados por los hackers y virus.
Introducción a la seguridad de contraseña
El enfoque para el uso de un registro en el identificador y la contraseña se remonta a los primeros días de aplicación de seguridad en los sistemas mainframe. Este tipo de seguridad de la contraseña se introdujo tan pronto como fue posible que la gente fuera de la sala de ordenadores sean capaces de utilizar los recursos informáticos. Hasta entonces, el acceso se controla por la seguridad física.
Mientras rodábamos terminales a cabo en áreas de usuario, por lo que el concepto de seguridad de ID / contraseña se puso en marcha también. Inicialmente éstos se llevaron a cabo en un archivo que no estaba protegido, pero después de algunos fallos de seguridad espléndidas en sistemas Unix en particular, estos archivos se encriptan para hacer una obra atacante más difícil de conseguir en cualquier lugar.
Las contraseñas eran cortas (6 caracteres). Eran bajos debido a que el ID se desactiva si se introduce la contraseña incorrecta tres veces. También se les corta, así que no tiene mucho que escribir y que probablemente hagan las cosas bien. Eran bajos, ya que le dio menos de recordar.
Contraseña de seguridad y consideraciones de diseño iniciales
La experiencia con contraseñas cortas pronto generó una serie de defectos para la aplicación de usuario. En ningún orden en particular éstos incluyen:
- Usando palabras comunes como jefe, maestro, nombre de la mascota
- Usando una palabra del diccionario o el nombre de la empresa
- Letras o números sucesivos ej.: AAAAAA, 1111111, repetitivamente.
También se encontraron seis caracteres a ser casi lo suficientemente corto como para que alguien cuide y recordar mientras el usuario escribe en ellos.
Para contrarrestar los intentos de los usuarios para hacer la vida más fácil, los sistemas de seguridad de contraseña se inventaron que cambió las contraseñas de forma regular (dicen mensual, e incluso todos los días para las contraseñas críticos), obligado a la nueva contraseña a ser diferente, y se comprueba que con una lista de contraseñas previamente utilizado. Los sistemas de seguridad de contraseñas más sofisticados para ejecutar las normas que requieren contraseñas para ser estructurados usando letras y dígitos en los patrones que no se repiten.
Los nombres y marcas mencionadas son marcas y nombres registrados de sus respectivos autores. El agradecimiento a las empresas Globalsign y Articsoft por sus amplios conceptos.
*Si desea contactar al autor de este artículo escriba a [email protected]
