Muchos servicios en línea oferta Autenticación de dos factores , que mejora la seguridad al requerir algo más que su contraseña para iniciar sesión. Hay muchos tipos diferentes de métodos de autenticación adicionales que puede utilizar.
Los diferentes servicios ofrecen diferentes métodos de autenticación de dos factores y, en algunos casos, incluso puede elegir entre algunas opciones diferentes. Así es como funcionan y en qué se diferencian.
Verificación por SMS
RELACIONADO: ¿Qué es la autenticación de dos factores y por qué la necesito?
Muchos servicios le permiten registrarse para recibir un mensaje SMS cada vez que inicie sesión en su cuenta. Ese mensaje SMS contendrá un código breve de un solo uso que deberá ingresar. Con este sistema, su teléfono celular se utiliza como segundo método de autenticación. Alguien no puede acceder a su cuenta si tiene su contraseña; necesita su contraseña y acceso a su teléfono o sus mensajes SMS.
Esto es conveniente, ya que no necesita hacer nada especial y la mayoría de las personas tienen teléfonos celulares. Algunos servicios incluso marcarán un número de teléfono y harán que un sistema automático diga un código, lo que le permitirá usarlo con un número de teléfono fijo que no puede recibir mensajes de texto.
Sin embargo, hay grandes problemas con la verificación por SMS . Los atacantes pueden usar ataques de intercambio de SIM para obtener acceso a sus códigos seguros o interceptarlos gracias a fallas en la red celular. Recomendamos no usar mensajes SMS, si es posible. Sin embargo, los mensajes SMS siguen siendo mucho más seguros que no utilizar ninguna autenticación de dos factores.
Códigos generados por aplicaciones (como Google Authenticator y Authy)
RELACIONADO: Cómo configurar Authy para la autenticación de dos factores (y sincronizar sus códigos entre dispositivos)
También puede hacer que sus códigos sean generados por una aplicación en su teléfono. La aplicación más conocida que hace esto es Google Authenticator, que Google ofrece para Android y iPhone. Sin embargo, preferimos Authy , que hace todo Autenticador de Google hace — y más. A pesar del nombre, estas aplicaciones usan un estándar abierto. Por ejemplo, es posible agregar cuentas de Microsoft y muchos otros tipos de cuentas a la aplicación Google Authenticator.
Instale la aplicación, escanee el código al configurar una nueva cuenta, y esa aplicación generará nuevos códigos aproximadamente cada 30 segundos. Deberá ingresar el código actual que se muestra en la aplicación en su teléfono, así como su contraseña cuando inicie sesión en una cuenta.
Esto no requiere una señal celular en absoluto, y la "semilla" que permite que la aplicación genere esos códigos de tiempo limitado se almacena solo en su dispositivo. Eso significa que es mucho más seguro, ya que incluso alguien que obtenga acceso a su número de teléfono o intercepte sus mensajes de texto no conocerá sus códigos.
Algunos servicios, por ejemplo, Autenticador Battle.net de Blizzard —También tienen sus propias aplicaciones de generación de código dedicadas.
Claves de autenticación física
RELACIONADO: Explicación de U2F: cómo Google y otras empresas están creando un token de seguridad universal
Las claves de autenticación física son otra opción que está comenzando a ser más popular. Grandes empresas de los sectores tecnológico y financiero están creando un estándar conocido como U2F , y ya es posible utilizar un token U2F físico para proteger sus cuentas de Google, Dropbox y GitHub . Esta es solo una pequeña llave USB que coloca en su llavero. Siempre que quieras iniciar sesión en tu cuenta desde una computadora nueva, tendrás que insertar la llave USB y presionar un botón. Eso es todo, sin escribir códigos. En el futuro, estos dispositivos deberían funcionar con NFC y Bluetooth para comunicarse con dispositivos móviles sin puertos USB.
Esta solución funciona mejor que la verificación por SMS y los códigos de un solo uso porque no puede ser interceptada ni manipulada. También es más simple y conveniente de usar. Por ejemplo, un sitio de suplantación de identidad podría mostrarle una página de inicio de sesión de Google falsa y capturar su código de uso único cuando intente iniciar sesión. Luego, podrían usar ese código para iniciar sesión en Google. Pero, con una clave de autenticación física que funciona en conjunto con su navegador, el navegador puede garantizar que se está comunicando con el sitio web real y que un atacante no puede capturar el código.
Espere ver muchos más de estos en el futuro.
Autenticación basada en aplicaciones
RELACIONADO: Cómo configurar la nueva autenticación de dos factores sin código de Google
Algunas aplicaciones móviles pueden proporcionar autenticación de dos factores utilizando la propia aplicación. Por ejemplo, Google ahora ofrece una autenticación de dos factores sin código siempre que tenga la aplicación de Google instalada en su teléfono. Siempre que intente iniciar sesión en Google desde otra computadora o dispositivo, solo necesita tocar un botón en su teléfono, no se requiere código. Google está comprobando que tenga acceso a su teléfono antes de que intente iniciar sesión.
Verificación en dos pasos de Apple funciona de manera similar, aunque no usa una aplicación, usa el sistema operativo iOS en sí. Siempre que intente iniciar sesión desde un dispositivo nuevo, puede recibir un código de un solo uso enviado a un dispositivo registrado, como su iPhone o iPad. La aplicación móvil de Twitter tiene una función similar llamada verificación de acceso también. Y, Google y Microsoft han agregado esta función a la Google y Autenticador de Microsoft aplicaciones para teléfonos inteligentes.
Sistemas basados en correo electrónico
Otros servicios dependen de su cuenta de correo electrónico para autenticarlo. Por ejemplo, si habilita Steam Guard, Steam le pedirá que ingrese un código de uso único enviado a su correo electrónico cada vez que inicie sesión desde una computadora nueva. Esto al menos garantiza que un atacante necesitará tanto la contraseña de su cuenta de Steam como el acceso a su cuenta de correo electrónico para obtener acceso a esa cuenta.
Esto no es tan seguro como otros métodos de verificación de dos pasos, ya que puede ser fácil para alguien obtener acceso a su cuenta de correo electrónico, especialmente si no está utilizando la verificación de dos pasos. Evite la verificación basada en correo electrónico si puede usar algo más fuerte. (Afortunadamente, Steam ofrece autenticación basada en aplicaciones en su aplicación móvil).
El último recurso: códigos de recuperación
RELACIONADO: Cómo evitar quedar bloqueado cuando se usa la autenticación de dos factores
Códigos de recuperación proporcione una red de seguridad en caso de que pierda el método de autenticación de dos factores. Cuando configure la autenticación de dos factores, generalmente se le proporcionarán códigos de recuperación que debe anotar y guardar en un lugar seguro. Los necesitará si alguna vez pierde su método de verificación de dos pasos.
Asegúrese de tener una copia de sus códigos de recuperación en algún lugar si está utilizando la autenticación de dos pasos.
No encontrará tantas opciones para cada una de sus cuentas. Sin embargo, muchos servicios ofrecen varios métodos de verificación de dos pasos entre los que puede elegir.
También existe la opción de utilizar varios métodos de autenticación de dos factores. Por ejemplo, si configura una aplicación generadora de código y una clave de seguridad física, podría obtener acceso a su cuenta a través de la aplicación si alguna vez pierde la clave física.
