Es hora de dejar de usar las aplicaciones de SMS y 2FA para la autenticación de dos factores
En estos días, parece que cada sitio web que visita intenta alentarlo a usar la autenticación de dos factores (2FA).
Una de las formas más comunes de usar 2FA es ingresar un código único desde su dispositivo móvil. Por lo general, recibe el código en un mensaje de texto o utiliza una aplicación 2FA de terceros para generar una.
Los dos métodos son formas populares de usar códigos debido a su conveniencia. Sin embargo, ambos métodos también son débiles desde el punto de vista de la seguridad. Y debido a que su código 2FA es tan seguro como la tecnología utilizada para entregarlo, las debilidades son importantes.
Entonces, ¿qué hay de malo en usar SMS y aplicaciones de terceros para acceder a sus códigos? ¿Y hay una alternativa igualmente conveniente que sea más segura? Vamos a explicar todo. Sigue leyendo para saber más..
Cómo funciona la autenticación de dos factores
Tomemos un momento para discutir cómo funciona la autenticación de dos factores. Sin entender la mecánica detrás de la tecnología, el resto de este artículo no tendrá mucho sentido..
En términos generales, 2FA agrega una capa adicional de seguridad a su cuenta. También conocidas como autenticación multifactor, las credenciales de inicio de sesión consisten no solo en una contraseña, sino también en una segunda información a la que solo el propietario legítimo de la cuenta tiene acceso..
2FA viene en muchas formas diferentes Las ventajas y desventajas de los tipos y métodos de autenticación de dos factores Las ventajas y desventajas de los tipos y métodos de autenticación de dos factores Los métodos de autenticación de dos factores no son iguales. Algunos son demostrablemente más seguros y más seguros. A continuación, le presentamos los métodos más comunes y los que mejor se adaptan a sus necesidades individuales. Lee mas . En su nivel más básico, podría ser algo tan simple como las preguntas de seguridad (porque es posible que nadie más pueda conocer el apellido de soltera de su madre. ¿Por qué responde a las preguntas de seguridad de la contraseña? ¿Por qué no responde a las preguntas de seguridad de la contraseña? ¿Cómo responde en línea? ¿Preguntas sobre la seguridad de la cuenta? ¿Respuestas honestas? Desafortunadamente, su honestidad puede crear una grieta en su armadura en línea. Veamos cómo responder de manera segura a las preguntas de seguridad. Lea más o su mascota favorita). En el extremo más complicado, podría ser una identificación biométrica, como una exploración de retina o una huella digital.
Por qué debería evitar la verificación por SMS
SMS disfruta de una posición como la forma más accesible de acceder y utilizar los códigos 2FA. Si un sitio ofrece inicios de sesión de autenticación de dos factores, es casi seguro que ofrece SMS como una de las opciones.
Pero SMS no es una forma segura de usar 2FA. Tiene dos vulnerabilidades clave..
En primer lugar, la tecnología es susceptibles a los ataques de intercambio de SIM. No hace falta mucho para que un hacker realice un intercambio de SIM. Si tienen acceso a otra información personal, como su número de seguridad social, pueden llamar a su operador y transferir su número a una nueva tarjeta SIM.
En segundo lugar, los hackers pueden interceptar mensajes SMS. Todo vuelve al actual sistema de enrutamiento telefónico del Sistema de señalización N.º 7 (SS7). La metodología se diseñó en 1975, pero aún se usa casi a nivel mundial para conectar y desconectar llamadas. También maneja las traducciones de números, la facturación prepaga y, fundamentalmente, los mensajes SMS.
Como era de esperar, esta tecnología de 1975 está llena de agujeros de seguridad. Así es como el experto en seguridad Bruce Schneier describió las fallas:
“Si los atacantes tienen acceso a un portal SS7, pueden reenviar sus conversaciones a un dispositivo de grabación en línea y redireccionar la llamada a su destino deseado [...] Significa que un criminal bien equipado puede capturar sus mensajes de verificación y usarlos antes de que haya incluso los he visto.”
Por supuesto, descubrir que un ciberdelincuente ha pirateado su Facebook Cómo averiguar si su cuenta de Facebook ha sido pirateada Cómo averiguar si su cuenta de Facebook ha sido pirateada Dada la cantidad de datos que hemos agregado a nuestros perfiles, es más importante más que nunca para asegurarse de estar al tanto de la configuración de privacidad de Facebook. Leer más cuenta está lejos de ser ideal. Pero la situación es más aterradora si consideramos otros usos de 2FA. Un ciberdelincuente podría robar los códigos que usa en su banca en línea, o incluso iniciar y completar transferencias de dinero. 6 aplicaciones para ayudarlo a transferir dinero entre amigos. 6 aplicaciones para ayudarlo a transferir dinero entre amigos. . Aquí hay seis de las mejores opciones disponibles. Lee mas .
Además, Schneier también afirma que cualquiera puede comprar acceso a la red SS7 por alrededor de $ 1,000. Una vez que tienen acceso, pueden enviar una solicitud de enrutamiento. Para completar el problema, la red puede no autenticar el origen de la solicitud.
Recuerde, usar la autenticación de dos factores a través de SMS es mejor que dejar 2FA deshabilitado. Y es probable que sea poco probable que te conviertas en una víctima. Sin embargo, si está empezando a sentirse un poco preocupado, debe seguir leyendo. Mucha gente acepta que los SMS son inseguros y recurren a aplicaciones de terceros..
Pero eso no puede ser mucho mejor..
Por qué deberías evitar las aplicaciones 2FA
La otra forma común de usar códigos 2FA es instalar una aplicación dedicada para teléfonos inteligentes. Hay muchos para elegir Google Authenticator es posiblemente el más reconocible, pero no es necesariamente el mejor. Hay muchas alternativas por ahí: echa un vistazo a Authy, Authenticator Plus y Duo.
¿Pero qué tan seguras son las aplicaciones especializadas de 2FA? Su mayor debilidad es su confiar en una clave secreta.
Demos un paso atrás por un segundo. En caso de que no lo sepa, cuando se registre en muchas de las aplicaciones por primera vez, deberá ingresar una clave secreta. El secreto se comparte entre usted y el proveedor de la aplicación..
Cuando accede a un sitio, el código que crea la aplicación se basa en una combinación de su clave y la hora actual. En el mismo momento, el servidor está generando un código utilizando la misma información. Los dos códigos deben coincidir para que se otorgue el acceso. Suena sensato.
Entonces, ¿por qué las llaves son el punto débil? Bueno, ¿qué sucede si un ciberdelincuente consigue acceder a la base de datos de contraseñas y secretos de una empresa? Todas las cuentas serían vulnerables: el atacante podría ir y venir Cómo comprobar si otra persona está accediendo a su cuenta de Facebook Cómo verificar si otra persona está accediendo a su cuenta de Facebook Es siniestro y preocupante si alguien tiene acceso a su cuenta de Facebook sin su cuenta. conocimiento. Aquí es cómo saber si has sido violado. Leer más a voluntad.
En segundo lugar, el secreto se muestra en texto plano o como un código QR; no se puede triturar ni usar con una sal. Lo que todo esto significa que el Hash de MD5 significa realmente [Tecnología explicada] Lo que todo lo que Hash de MD5 realmente significa [Explicación de la tecnología] Aquí hay una versión completa de MD5, hashing y una pequeña descripción general de las computadoras y criptografía. Lee mas . Probablemente sea también en texto plano en los servidores de la compañía..
La clave secreta es el defecto fundamental en la Contraseña de un solo uso basada en el tiempo (TOTP) que utilizan las aplicaciones especializadas. Es por eso que una clave U2F física es siempre una opción más segura.
Fallos en el diseño y la seguridad de las aplicaciones 2FA
Por supuesto, las posibilidades de que un pirata cibernético piratee las bases de datos necesarias de una aplicación de terceros son bastante pequeñas. Pero su aplicación también podría sufrir defectos de seguridad básicos en su diseño..
El administrador de contraseñas popular LastPass 8 maneras fáciles de aumentar la seguridad de LastPass 8 formas fáciles de aumentar la seguridad de LastPass Es posible que esté utilizando LastPass para administrar sus muchas contraseñas en línea, pero ¿lo está usando correctamente? Aquí hay ocho pasos que puede tomar para hacer que su cuenta LastPass sea aún más segura. Lea más cayó víctima en diciembre de 2017. Se pudo acceder a una publicación del blog de un programador sobre las claves secretas 2FA sin medio, sin huella digital, contraseña u otras medidas de seguridad.
La solución no fue ni siquiera complicada. Al acceder a la actividad de configuración de la aplicación LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), se puede ingresar al panel de configuración de la aplicación sin ninguna comprobación. Desde allí, puede pulsar Espalda Una vez para acceder a todos los códigos 2FA..
LastPass ahora ha corregido la falla, pero las preguntas permanecen. Según el programador, había intentado decirle a LastPass sobre el problema durante siete meses, pero la compañía nunca lo solucionó. ¿Cuántas otras aplicaciones 2FA de terceros son inseguras? ¿Y cuántas vulnerabilidades no fijadas conocen los desarrolladores pero retrasan la aplicación de parches? También hay preocupaciones cuando se trata de perder el acceso a su generador de código en Facebook Cómo iniciar sesión en Facebook Si perdió el acceso a Code Generator Cómo iniciar sesión en Facebook Si perdió el acceso a Code Generator ¿Qué sucede si no puede iniciar sesión en Facebook? ¿Tu nueva computadora porque no tienes acceso al generador de código en tu teléfono? Leer más por ejemplo.
Qué hacer en su lugar: utilizar claves U2F
En lugar de confiar en SMS y 2FA para sus códigos, debe usar las teclas del segundo factor universal. ¿Qué son las teclas U2F y dónde se admiten? ¿Qué son las claves U2F y dónde se admiten? Las claves U2F son una de las mejores maneras de mantener sus cuentas seguras. Pero, ¿dónde son compatibles las claves U2F? Leer más (U2F). Son la forma más segura de generar códigos y acceder a sus servicios..
Considerada ampliamente como una versión de segunda generación de 2FA, simplifica y fortalece el protocolo actual. Además, usar las teclas U2F es casi tan conveniente como abrir un mensaje SMS o una aplicación de terceros.
Las teclas U2F usan una conexión NFC o USB. Cuando conecte su dispositivo a una cuenta por primera vez, generará un número aleatorio llamado “Mientras tanto.” El Nonce está marcado con el nombre de dominio del sitio para crear un código único.
A partir de entonces, puede implementar su clave U2F conectándola a su dispositivo y esperando que el servicio la reconozca..
Entonces, ¿cuál es el inconveniente? Bueno, aunque U2F es un estándar abierto, todavía cuesta dinero comprar una clave U2F física. Y quizás más preocupante, estás en riesgo de robo..
Una clave U2F robada no hace que su cuenta sea insegura automáticamente; un hacker aún necesitaría saber su contraseña. Pero en un área pública, es posible que un ladrón ya lo haya visto ingresar su contraseña desde lejos, antes de robar sus posesiones..
Las llaves U2F pueden ser caras
Los precios varían considerablemente entre los fabricantes, pero puede esperar pagar entre aproximadamente $ 15 y $ 50.
Lo ideal es comprar un modelo que sea “Certificado por fido.” La Alianza FIDO (Fast IDentity Online) es responsable de lograr la interoperabilidad entre las tecnologías de autenticación. Los miembros incluyen a todos, desde Google y Microsoft, hasta Bank of America y MasterCard.
Al comprar un dispositivo FIDO, puede estar seguro de que la clave U2F funcionará con todos los servicios que usa todos los días. Echa un vistazo a la llave DIGIPASS SecureClick U2F si quieres comprar una.
Llave de seguridad Digipass SecureClick FIDO U2F Llave de seguridad Digipass SecureClick FIDO U2F Compra ahora en Amazon
El 2FA inseguro es aún mejor que el 2FA
Para resumir, las teclas Universal 2nd Factor proporcionan un medio feliz entre la facilidad de uso y la seguridad. SMS es el enfoque menos seguro, pero también el más conveniente.
Y recuerda, cualquier 2FA es mejor que ningún 2FA. Sí, puede tardar 10 segundos adicionales en iniciar sesión en ciertas aplicaciones, pero es mejor que sacrificar su seguridad.
Obtenga más información sobre: seguridad en línea, autenticación de dos factores.