Contactos
hogar

Cómo habilitar la autenticación de dos factores en Google. Autenticación de dos factores, cómo funciona y se usa Los investigadores demuestran un ataque simple para evitar la autenticación de dos factores

La autenticación de dos factores se basa en el uso no solo de la combinación tradicional de inicio de sesión y contraseña, sino también de un nivel adicional de protección: el llamado segundo factor, cuya posesión debe confirmarse para obtener acceso a una cuenta o otros datos

El ejemplo más simple de autenticación de dos factores con el que cada uno de nosotros nos encontramos constantemente son los retiros de efectivo a través de un cajero automático. Para recibir dinero, necesita una tarjeta que solo usted tiene y un código PIN que solo usted conoce. Habiendo obtenido su tarjeta, un atacante no podrá retirar efectivo sin conocer el código PIN, y de la misma manera no podrá recibir dinero si lo sabe, pero no tiene una tarjeta.

El mismo principio de autenticación de dos factores brinda acceso a sus cuentas en redes sociales, correo y otros servicios. El primer factor es una combinación de inicio de sesión y contraseña, y las siguientes 5 cosas pueden actuar como el segundo.

códigos SMS

Ken Banks/flickr.com

La confirmación mediante códigos SMS funciona de forma muy sencilla. Usted, como de costumbre, ingresa su nombre de usuario y contraseña, luego de lo cual se enviará un SMS a su número de teléfono con un código que debe ingresar para ingresar a su cuenta. Esto es todo. En el próximo inicio de sesión, se envía otro código SMS, válido solo para la sesión actual.

Ventajas

  • Genera nuevos códigos cada vez que inicies sesión. Si los atacantes interceptan su nombre de usuario y contraseña, no podrán hacer nada sin el código.
  • Vinculación a un número de teléfono. La entrada no es posible sin su teléfono.

Defectos

  • Si no hay señal celular, no podrá iniciar sesión.
  • Existe la posibilidad teórica de cambiar el número a través del servicio del operador o empleados de los salones de comunicación.
  • Si inicia sesión y recibe códigos en el mismo dispositivo (por ejemplo, un teléfono inteligente), la protección deja de ser de dos factores.

Aplicaciones de autenticación


authy.com

Esta opción es similar en muchos aspectos a la anterior, con la única diferencia de que, en lugar de recibir códigos por SMS, se generan en el dispositivo mediante una aplicación especial (Google Authenticator, Authy). Durante la configuración, recibe una clave principal (la mayoría de las veces en forma de código QR), en base a la cual se generan contraseñas de un solo uso con un período de validez de 30 a 60 segundos utilizando algoritmos criptográficos. Incluso suponiendo que los atacantes puedan interceptar 10, 100 o incluso 1000 contraseñas, es simplemente imposible predecir cuál será la próxima contraseña con su ayuda.

Ventajas

  • El autenticador no necesita una señal de red celular, basta con conectarse a Internet durante la configuración inicial.
  • Soporte para múltiples cuentas en un autenticador.

Defectos

  • Si los atacantes obtienen acceso a la clave principal de su dispositivo o piratean el servidor, pueden generar futuras contraseñas.
  • Si usa un autenticador en el mismo dispositivo desde el que está iniciando sesión, se pierde el doble factor.

Verificación de inicio de sesión de la aplicación móvil

Este tipo de autenticación se puede denominar una mezcolanza de todas las anteriores. En este caso, en lugar de solicitar códigos o contraseñas de un solo uso, deberá confirmar el inicio de sesión desde su dispositivo móvil con la aplicación del servicio instalada. El dispositivo almacena una clave privada, que se verifica cada vez que inicia sesión. Esto funciona en Twitter, Snapchat y varios juegos en línea. Por ejemplo, cuando inicia sesión en su cuenta de Twitter en la versión web, ingresa su nombre de usuario y contraseña, luego llega una notificación a su teléfono inteligente con una solicitud de inicio de sesión, luego de lo cual se abre su feed en el navegador.

Ventajas

  • No necesita ingresar nada al iniciar sesión.
  • Independencia de la red celular.
  • Soporte para múltiples cuentas en una sola aplicación.

Defectos

  • Si los atacantes interceptan la clave privada, pueden hacerse pasar por usted.
  • El punto de autenticación de dos factores se pierde cuando se utiliza el mismo dispositivo de inicio de sesión.

fichas de hardware


yubico.com

Los tokens físicos (o de hardware) son la forma más segura de autenticación de dos factores. Al ser dispositivos separados, los tokens de hardware, a diferencia de todos los métodos enumerados anteriormente, no perderán su componente de dos factores en ningún caso. La mayoría de las veces, se presentan en forma de llaveros USB con su propio procesador que genera claves criptográficas que se ingresan automáticamente cuando se conectan a una computadora. La elección de la clave depende del servicio específico. Google, por ejemplo, recomienda usar tokens FIDO U2F, que comienzan en $6 sin envío.

Ventajas

  • Sin SMS ni aplicaciones.
  • Sin necesidad de un dispositivo móvil.
  • Es un dispositivo completamente independiente.

Defectos

  • Necesidad de comprar por separado.
  • No es compatible con todos los servicios.
  • Cuando use varias cuentas, tendrá que llevar un montón de tokens.

Claves de respaldo

De hecho, este no es un método separado, sino una alternativa en caso de pérdida o robo de un teléfono inteligente, que recibe contraseñas de un solo uso o códigos de confirmación. Cuando configura la autenticación de dos factores en cada servicio, se le proporcionan algunas claves de respaldo para usar en caso de emergencia. Con su ayuda, puede iniciar sesión en su cuenta, desatar dispositivos configurados y agregar otros nuevos. Estas claves deben almacenarse en un lugar seguro y no en forma de captura de pantalla en un teléfono inteligente o archivo de texto en una computadora.

Como puede ver, existen algunos matices en el uso de la autenticación de dos factores, pero parecen complicados solo a primera vista. Cuál debería ser la proporción ideal de protección y conveniencia, cada uno decide por sí mismo. Pero en cualquier caso, todos los problemas están más que justificados cuando se trata de la seguridad de los datos de pago o información personal que no está destinada a miradas indiscretas.

Dónde puede y debe habilitar la autenticación de dos factores, así como qué servicios la admiten, puede leer.

Muchos usuarios de Internet ya se han encontrado o al menos han oído hablar del sistema de autenticación de dos factores. Qué es y cómo configurarlo, hablaremos en este artículo.

Primero, aprendamos qué es la autenticación. Si mira wikipedia, entonces este es el procedimiento de autenticación. En la vida real, dicho cheque puede servir como pasaporte, huellas dactilares, escaneos de retina, etc.

En Internet, su nombre de usuario y contraseña se utilizan para determinar su identidad. En casi todos los sitios, para ingresar a su cuenta personal, se le solicita que ingrese su nombre de usuario (o correo electrónico) y contraseña. Pero en los últimos años, los piratas informáticos se han acostumbrado a robar esos datos. No será crítico perder dichos datos de ninguna cuenta de juego o red social. Pero si tales datos son robados de cualquier recurso financiero. Por ejemplo, un banco en línea o un intercambio. Entonces será mucho peor y, para algunos, la ruina financiera. Aquí, para evitar tales situaciones, se inventó una protección adicional.

La autenticación de dos factores, o 2FA para abreviar, es una seguridad adicional. Es decir, además de los inicios de sesión y contraseñas estándar, debe ingresar un secreto más. ¿Qué secretos vas a descubrir?

Tipos de autenticación de dos factores

Por el momento, hay muchas formas diferentes de autorizar usando 2FA. Hay formas profesionales que son muy difíciles de entender para el usuario medio. Los hay simples, pero algunos de ellos, por decirlo suavemente, no son muy confiables. Así que echemos un vistazo más de cerca a estos métodos.

Este método es utilizado por los bancos en línea. Te dan un cheque largo con contraseñas en el cajero automático. Luego, al autorizar en el sitio, se le solicita que ingrese una contraseña con un número determinado. Este método fue utilizado por Sberbank. Pero debe admitir que dicho cheque puede perderse o ser robado. Las contraseñas pueden agotarse y el cajero automático está lejos. No creo que sea la forma más fiable. No sé si algún banco todavía lo usa. Escribe en los comentarios si conoces un banco así.

. Tras la autorización, se le enviará una contraseña de un solo uso por correo electrónico, que debe ingresar en el sitio. Como regla general, las personas no piensan en la seguridad y al registrarse indican contraseñas como del correo electrónico. Por lo tanto, si un estafador roba sus datos, puede ingresar fácilmente esta contraseña. Este método ahora se usa más a menudo como uno adicional. Por ejemplo, si tu ip ha cambiado o hacer cambios en tu perfil.

Una de las formas más populares, pero no la más confiable, de 2FA. Muchos sitios lo usan, si no para autorización, para recuperar contraseña. Los mensajes SMS han aprendido a interceptarse usando un número falso o virus para teléfonos. Sobre todo, los teléfonos Android son susceptibles a los virus.

Estas claves son utilizadas principalmente por personas jurídicas para acceder a programas y servicios de Internet. Además, las firmas electrónicas se pueden almacenar en una unidad flash. Algunos servicios emiten unidades flash al comprar su producto. Esta es una forma confiable de protección, pero no está disponible para todos.

Una forma popular y confiable de autenticación de dos factores en este momento. Te descargas la aplicación en tu teléfono. Sincronízalo con el sitio y la aplicación genera nuevas contraseñas cada 30 segundos. Puede utilizar muchos sitios diferentes en la aplicación. Los datos de la aplicación no se envían a ningún lado y toda la información está solo en su teléfono. Pero este método también tiene un inconveniente: esta es la pérdida o el mal funcionamiento del teléfono. Si no tiene en cuenta ciertos matices, que analizaremos a continuación, restaurar el acceso será problemático.

Aplicaciones de autenticación para 2FA

El uso de aplicaciones de dos factores es uno de los métodos más populares y seguros en este momento. Las aplicaciones de autenticación de dos factores funcionan de manera muy simple. Para conectarlos necesitarás:

  • instalar el programa en su teléfono.
  • sincroniza la aplicación con el sitio usando un código QR que puede ser escaneado por tu teléfono. O ingrese un código especial que proporcionará un recurso de Internet.

Después de iniciar el programa, generará nuevas contraseñas cada 30 segundos. Los códigos se generan en función de una clave que solo usted y el servidor conocen. Dado que ambos componentes son iguales para usted y el servicio, los códigos se generan de forma sincrónica. Este algoritmo se llama OATH TOTP (Contraseña de un solo uso basada en el tiempo), y en la mayoría de los casos se utiliza.

Casi todas las aplicaciones de autenticación utilizan el mismo algoritmo. Así que puedes usar el que quieras. Pero hay excepciones. Por ejemplo, las aplicaciones de Blizzard Authenticator. Está hecho para Blizzard y no se puede usar para otros servicios.

Adobe también lanzó su aplicación llamada Adobe Authenticator. Pero este servicio también le permite utilizar autenticadores de terceros. No está claro por qué fue necesario reinventar la rueda.

Como muestra la práctica, la mayoría de los recursos de TI le permiten usar cualquier aplicación 2FA. E incluso si, por alguna razón, quieren controlar este proceso y crear su propia aplicación, la mayoría de las veces le permiten proteger no solo "sus" cuentas con él, sino también cuentas de servicios de terceros.

Por lo tanto, puede elegir cualquier aplicación de autenticación que desee y funcionará con la mayoría de los servicios que admiten aplicaciones 2FA.

Aplicaciones populares de autenticación de dos factores

Si comienza a buscar aplicaciones 2FA en Google Play o Apple App Store, verá una gran selección de estas aplicaciones. Y a pesar del mismo algoritmo de trabajo, se debe dar preferencia a aquellos que tienen funciones adicionales y una interfaz conveniente. A continuación veremos las opciones más populares.

. Es la aplicación de autenticación de dos factores más fácil de usar. Ni siquiera tiene ajustes. Hablaremos con más detalle sobre cómo trabajar con esta aplicación en una sección separada.

Microsoft tampoco complicó las cosas e hizo que su autenticador pareciera muy minimalista. Pero al mismo tiempo, Microsoft Authenticator es notablemente más funcional que Google Authenticator. En primer lugar, aunque por defecto se muestran todos los códigos, cada uno de los tokens se puede configurar por separado para que el código quede oculto al iniciar la aplicación.

la más exitosa de las aplicaciones existentes para la autenticación de dos factores. Por un lado, no requiere registro sobre la marcha: puede comenzar a usarlo con la misma facilidad que Google Authenticator. Por otro lado, tiene varias características adicionales que se abren para aquellos que no son demasiado perezosos para ingresar a la configuración.

Para ingresar al programa, puede ingresar un código PIN o una huella digital. Cree una copia de seguridad de tokens protegida con contraseña en la nube de Yandex (aquí debe especificar su número de teléfono) y restáurela en cualquiera de los dispositivos que usa. Del mismo modo, será posible transferir tokens a un nuevo dispositivo cuando necesite mudarse.

móvil dúo. Simple en uso y sin ajustes adicionales. En comparación con Google Authenticator, tiene una ventaja: de forma predeterminada, Duo Mobile oculta los códigos: para ver el código, debe hacer clic en un token específico. Si se siente incómodo cada vez que abre el autenticador y muestra a todos a su alrededor un montón de códigos de todas sus cuentas, definitivamente le gustará esta característica de Duo Mobile.

Hay cuatro razones por las que podría gustarle este autenticador de Red Hat. Primero, es su elección si le encanta el software de código abierto. En segundo lugar, esta es la aplicación más pequeña de todas las consideradas: la versión de iOS ocupa solo 750 KB. A modo de comparación, el Google Authenticator minimalista ocupa casi 14 MB, y la aplicación Authy, de la que hablaremos más adelante, ocupa hasta 44 MB.

En tercer lugar, por defecto, la aplicación oculta los códigos y los muestra solo después de tocarlos. Finalmente, en cuarto lugar, FreeOTP le permite configurar tokens manualmente de la manera más flexible posible, si lo necesita por algún motivo. Por supuesto, también se admite la forma habitual de crear un token escaneando un código QR.

autista. La más sofisticada de las aplicaciones de autenticación de dos factores, cuya principal ventaja es que todos los tokens se almacenan en la nube. Esto le permite acceder a tokens desde cualquiera de sus dispositivos. Al mismo tiempo, esto facilita el cambio a nuevos dispositivos: no tiene que volver a activar 2FA en cada servicio, puede continuar usando tokens existentes aquí. Si su dispositivo está en IOS, entonces necesita descargar . Para vincular la aplicación, debe hacer clic en "+". Escanea el código QR o ingresa la clave que te proporcionará el sitio. Tomemos un ejemplo en el intercambio criptográfico 50x.

En el sitio, vaya a la configuración de 2FA y haga clic en habilitar la autenticación de dos factores. Nos dan un código QR y una clave.

Asegúrese de anotar esta clave en algún lugar del papel; esto lo ayudará a restablecer el acceso en caso de avería o pérdida de su teléfono. Además, no estará de más hacer una foto o una pantalla del código QR y esconderlo en un lugar seguro.

En la aplicación móvil "Autenticador" presione "+" y seleccione "Escanear código de barras". Apunte la cámara al código QR propuesto. Esto agregará Authenticator al intercambio 50x. Si la cámara no funciona, en lugar de escanear, seleccione "entrada manual" e ingrese la clave que ofrece el Autenticador. Las cuentas de otros recursos de Internet se agregan de manera similar.

Vídeo de cómo instalar Google Authenticator en Windows

Si no tiene un teléfono con el sistema operativo Android o iOS, puede instalar el programa en Windows. Cómo hacer esto, vea las instrucciones en video:

¿Dónde puedo obtener el código 2FA?

Cuando el sitio le pide que ingrese el código 2FA, debe iniciar la aplicación y verá un código de seis dígitos. Este código cambia cada 30 segundos. Si el código se ilumina en rojo, significa que su período de validez se está agotando, es mejor esperar a que aparezca uno nuevo e ingresarlo lentamente.

Como recuperar cuentas

Una situación puede ocurrir cuando el teléfono se rompe, se pierde o, Dios no lo quiera, se lo roban. ¿Qué hacer entonces? ¿Cómo restaurar el acceso al autenticador de Google?

El caso es que la aplicación no se comunica con los servidores de Google y no transfiere nada allí. El Autenticador no hace una copia de seguridad. Toda la información está sólo en su teléfono inteligente. Por lo tanto, solo hay dos opciones para restaurar el acceso.

  1. Si, al agregar una cuenta, anotó la clave o tomó una captura de pantalla del código QR, no será difícil restablecer el acceso. Simplemente descargue la aplicación en su nuevo teléfono y agregue una cuenta allí usando una clave o un código QR.
  2. Si no tuvo cuidado y no guardó los códigos, las cuentas desaparecieron para siempre. En tal situación, será útil ponerse en contacto con el servicio de soporte del proyecto. Solo ellos pueden eliminar el antiguo 2FA y luego puedes crear uno nuevo.

Para proteger sus datos personales en el mundo actual, es posible que deba ocuparse de aumentar el nivel de protección de su espacio digital con autenticación de dos factores.

Varias tecnologías en línea se integran cada vez más en la vida de una persona moderna. La mayoría de nosotros ya no podemos imaginarnos sin las redes sociales, los teléfonos inteligentes e Internet en general. Todos los días dejamos un montón de huellas digitales y datos personales en la World Wide Web. Al mismo tiempo, la mayoría de los usuarios ni siquiera piensan en lo que sucederá si algún día pierden el acceso a su "mundo digital", que estará en manos de malhechores...

Algunos dirán que es poco probable que su personalidad modesta interese a los piratas informáticos. Sin embargo, incluso las cuentas de las redes sociales más sórdidas se venden en el "mercado negro". ¿Qué podemos decir sobre, digamos, su cuenta de Google, que contiene toda la correspondencia de correo, datos del teléfono y, posiblemente, enlaces a tarjetas bancarias?

Lo más triste es que muchos confían en "tal vez" y usan contraseñas bastante simples para acceder a cuentas serias. Y, por cierto, hay diccionarios especiales completos que contienen miles de contraseñas populares, como "1234qwerty" y similares, ¡que te permiten ser pirateado en cuestión de minutos! Por lo tanto, la protección con contraseña convencional ya no es confiable. ¡Es hora de usar la autenticación de dos factores!

¿Qué es la autenticación de dos factores?

En varias películas de ciencia ficción de Hollywood, podemos ver cómo el personaje principal (o villano) primero ingresa un montón de contraseñas para acceder a datos secretos, luego adjunta una tarjeta de identificación especial al lector y, para colmo, mira a través de la mirilla, donde el láser lee el patrón de la retina de sus ojos. Pero esto ya no es fantasía, sino el llamado autenticación multifactor.

El modelo tradicional de autenticación multifactor implica la presencia de tres factores principales (mientras que cada uno de ellos se puede duplicar para aumentar el nivel de protección):

  1. Factor de conocimiento. Implica la recepción por parte del sistema de control de acceso de determinados datos que sólo un usuario concreto debe conocer. Por ejemplo, puede ser un par tradicional de inicio de sesión y contraseña, un código pin, el apellido de soltera de la madre u otra información que, idealmente, solo nosotros podemos saber. Por desgracia, muchos usuarios no recuerdan sus contraseñas, pero las almacenan en trozos de papel en el lugar de trabajo. Por tanto, no será difícil que un hipotético atacante se las robe…
  2. factor de propiedad. Prevé que el usuario tenga una cierta cosa que otros no tienen. Tales cosas incluyen un número de teléfono único, una tarjeta de plástico con un código de barras único o un chip de datos, un token USB u otro dispositivo criptográfico. Teóricamente, también es posible robarlo, pero ya es mucho más difícil. Y, dado que el factor de propiedad generalmente está respaldado por el factor de conocimiento (primero debe ingresar una contraseña), las posibilidades de usar con éxito un dispositivo robado se reducen significativamente.
  3. Factor de propiedad. Utiliza ciertas cualidades personales para identificar al usuario. Los más exclusivos incluyen huellas dactilares, la cara en general, el dibujo del iris del ojo o incluso una muestra de ADN. Con el grado adecuado de sensibilidad del equipo de prueba, es simplemente imposible eludir dicha protección. Sin embargo, la verificación biométrica aún está lejos de tal perfección, por lo que en la etapa actual se suele complementar con factores adicionales de control de acceso.

De hecho, la autenticación multifactor es en realidad una autenticación de tres factores. En consecuencia, la verificación del usuario en dos pasos implica descartar uno de los factores. Como regla general, este es un factor de propiedad, para el cual se requiere un equipo biométrico especial para confirmar. La autenticación de dos factores no requiere ninguna inversión especial, ¡pero puede aumentar significativamente el nivel de seguridad!

Hasta la fecha, el tipo más común de autenticación de dos factores en Internet es vincular una cuenta al teléfono de un usuario. En el caso general, tradicionalmente ingresamos un inicio de sesión con una contraseña, luego de lo cual un código PIN especial de un solo uso llega a nuestro teléfono mediante un mensaje SMS o PUSH, que ingresamos en un formulario especial para acceder al sitio que necesitamos. Alternativamente, en lugar de un mensaje, puede recibir una llamada de un robot que le pedirá que presione uno u otro número en el teclado del teléfono.

Menos común es la autorización mediante tokens USB (por ejemplo, en los servicios de contabilidad modernos). Dicho token contiene una clave cifrada que corresponde a una contraseña conocida por el usuario. Al autorizar, debe conectar el token al puerto USB de la computadora y luego ingresar la contraseña en un campo especial. Si coincide con el cifrado en el token, se producirá la autorización.

Sin embargo, los tokens cuestan dinero y requieren una renovación periódica de la clave, que tampoco siempre es gratuita. Por lo tanto, el método más ampliamente disponible de verificación de dos factores sigue siendo la verificación por teléfono. Y aquí hablaremos de ello con más detalle.

Autenticación de dos factores en Windows

Windows 10 es un sistema operativo moderno, por lo tanto, por definición, debe contener herramientas de seguridad modernas. Uno de estos es solo el mecanismo de verificación de usuario de dos factores. Esta característica apareció y luego volvió a desaparecer en algunas versiones del sistema, pasando por una serie de mejoras, así que si quieres usarla, asegúrate de tener todas las actualizaciones (especialmente el parche KB3216755, que arregló la autenticación en la actualización de aniversario).

Además, para que funcione la verificación en dos pasos, deberá tener una cuenta registrada en Microsoft. Es decir, con una "cuenta" local, por desgracia, nada funcionará ...

Ahora debe preparar su teléfono para el procedimiento. Debe instalar una aplicación especial en él, que recibirá las señales de verificación para ingresar a la cuenta de Windows y confirmarlas. Para teléfonos inteligentes Android, puede elegir el programa oficial de Microsoft Authenticator, y para dispositivos iOS, la solución unificada de Google Authenticator (también para Android) es adecuada.

Después de todas las configuraciones preliminares, debe iniciar sesión en su cuenta de Microsoft y configurarla para el inicio de sesión de dos factores. La forma más fácil de hacer esto es llamando en un instante "Opciones" capítulo "Cuentas". En la primera pestaña "Correo electrónico y cuentas" haga clic en el enlace "Administración de cuentas de Microsoft", después de lo cual debería ser redirigido a la página de inicio de sesión de la cuenta de Microsoft.

Se abrirá una página con configuraciones, entre las cuales debe encontrar un grupo "Verificación de dos pasos" y haga clic en el enlace "Configuración de la verificación en dos pasos":

Verá un asistente paso a paso para configurar la autenticación de dos factores, siguiendo las indicaciones de las cuales puede activar la verificación de dos pasos de un usuario al iniciar sesión en Windows:

Autenticación de dos factores en Google

Después de Windows, Android es el segundo más popular entre los usuarios modernos. Y la mayoría de los dispositivos Android, como sabemos, están "atados" a una cuenta de Google. No está de más protegerlo a él también. Además, la función de autenticación de dos factores para sus cuentas ha estado funcionando durante bastante tiempo y con éxito.

Para acceder a la configuración de verificación en dos pasos, debe iniciar sesión en su cuenta de Google, ir a una página especial y hacer clic en el botón "Comenzar":

Es posible que se le solicite que vuelva a ingresar la contraseña de su cuenta para confirmar la entrada a la configuración. Después de eso, se abrirá un asistente paso a paso que lo ayudará a establecer los parámetros necesarios para la verificación en dos pasos del inicio de sesión en su cuenta:

Todo lo que necesita hacer es ingresar su número de teléfono (lo más probable es que ya esté "vinculado" a su cuenta), recibir un SMS con un código de verificación único, luego ingresar el código en un campo especial y activar el procedimiento para todos los posteriores. autorizaciones.

Sin embargo, iniciar sesión con su teléfono no es el único método de autenticación de dos factores que ofrece Google. Si tiene un token FIDO Universal 2nd Factor (U2F), también puede configurar el inicio de sesión en su cuenta usándolo. Lea más sobre cómo hacer esto. Y, por supuesto, puede recibir códigos de verificación no solo en forma de SMS, sino también mensajes PUSH en la aplicación Google Authenticator que ya hemos mencionado anteriormente.

Autenticación de dos factores en redes sociales

Siguiendo las tendencias generales, los desarrolladores de algunas de las principales redes sociales también se han ocupado de la autenticación de dos factores.

DFA en Facebook

Facebook, al ser una de las redes sociales más populares en Occidente, al igual que Google, lleva mucho tiempo ofreciendo a sus usuarios una verificación en dos pasos del inicio de sesión de la cuenta. Además, las claves de acceso se pueden recibir tanto a través de SMS como en aplicaciones de autorización universal. De estos, Google Authenticator y Duo Mobile son compatibles.

Puede habilitar la autenticación de dos factores en Facebook yendo a la sección de configuración

El procedimiento estándar para identificar a un usuario en Internet o en cualquier sistema requiere únicamente un nombre de usuario y una contraseña. Y aunque el uso de contraseñas es mejor que ninguna protección, per se, no son suficiente esperanza para la seguridad.

Si un estafador, por ejemplo, puede obtener datos de una cuenta de alguna manera, no es difícil para él robar información valiosa e importante para una persona. La autenticación de dos factores (2FA) se utiliza para evitar el acceso no autorizado al sistema y los datos.

¿Qué es la autenticación de dos factores?

Autenticación de dos factores(en algunas fuentes puede encontrar: verificación en dos pasos o verificación en dos pasos) es una capa adicional de protección para la autenticación del usuario. Cuando un usuario ingresa datos de su cuenta para acceder al sitio, además del nombre de usuario y la contraseña, deberá proporcionar uno más factor de autenticación.

factor de autenticación- alguna información, parámetro o característica que solo posee el titular de la cuenta o una persona autorizada por él y puede ser:

  • factor de conocimiento: lo que el usuario sabe (código PIN, contraseña, palabra clave, respuesta a una pregunta secreta, etc.);
  • factor de propiedad: lo que posee el usuario (clave, pasaporte, tarjeta inteligente, token de seguridad, unidad flash USB, disco, teléfono inteligente y otro dispositivo móvil);
  • - lo que es parte del usuario (huellas dactilares, iris y retina, voz, geometría facial). También incluye biometría de comportamiento, como dinámica de pulsaciones de teclas, patrones de marcha o habla;
  • factor de ubicación - (por ejemplo, por dirección IP o mediante un sistema de navegación por satélite);
  • factor de tiempo: se fija un cierto período de tiempo durante el cual puede iniciar sesión en el sistema.

Ahora, debido a que la contraseña no brinda el nivel de seguridad necesario, la seguridad de dos factores (2FA) se usa en todas partes. Esta tecnología se encuentra en redes sociales, foros, blogs, mensajería instantánea, juegos, banca online, etc. Apple, Facebook, Twitter, Vkontakte, Gmail, Yandex, Google, Microsoft y muchos otros líderes del mercado utilizan la verificación en dos pasos. En algún lugar, este método de protección se encuentra como un factor de seguridad adicional, y en algún lugar, como uno de los obligatorios.

Dado que conocer una contraseña ya no es suficiente para pasar la autenticación, la autenticación de dos factores complica enormemente la tarea de un atacante potencial y actúa como elemento disuasorio y, en algunos casos, como factor de detención.

¿Cuáles son los tipos de autenticación de dos factores?

Lo más probable es que ya te hayas encontrado con la verificación en dos pasos más de una vez, por ejemplo, cuando intentaste acceder a una página en una red social desde otra computadora o teléfono, y en ese momento, el servicio, sospechando una actividad dudosa, te solicitó un código de verificación que se envió a su teléfono. Esta es solo una de las formas de representación 2FA, pero en general son más versátiles y se pueden implementar como:

  • nombre de usuario y contraseña + la presencia de un código PIN especial de un mensaje SMS, correo electrónico o aplicación móvil: esta opción es la más fácil de implementar y la más popular entre otras;
  • nombre de usuario y contraseña + foto: esto significa que cuando intenta iniciar sesión, se toma una foto con una cámara web y se envía a un dispositivo confiable (teléfono móvil, tableta, computadora portátil). Todo lo que queda es autenticar la foto tomada en el segundo dispositivo o rechazarla, bloqueando así el acceso al atacante;
  • nombre de usuario y contraseña + etiqueta visual: si no hay una cámara web en la computadora o no desea tomarse una foto, puede pasar por la autenticación de dos factores de otra manera. Etiqueta visual: genera un código visual único que se calcula de acuerdo con un determinado algoritmo y se muestra al usuario en dos dispositivos al mismo tiempo, lo que permite la autenticación mediante la verificación de los códigos;
  • nombre de usuario y contraseña + biometría (huella dactilar, geometría de la mano, retina o iris, rostro, voz): al acceder al sistema, se envía una notificación al dispositivo correspondiente, donde se le solicitará al usuario que proporcione el parámetro biométrico necesario;
  • nombre de usuario y contraseña + dispositivo de hardware (unidad USB, tarjeta inteligente, token, clave): para pasar la autenticación de dos factores, deberá insertar una clave de acceso en su computadora personal, o conectar una tarjeta a un lector especial, o sincronizar el token, por ejemplo, a través de Bluetooth;
  • nombre de usuario y contraseña + metadatos: el usuario se autentica solo si todos los parámetros necesarios coinciden. En particular, se tiene en cuenta la ubicación a través de GPS. Un usuario con equipo GPS envía repetidamente las coordenadas de satélites específicos que están en la línea de visión. El subsistema de autenticación, conociendo las órbitas de los satélites, puede hacerlo con una precisión de hasta un metro. También se puede tener en cuenta el tiempo, por ejemplo, puede iniciar sesión en el sistema de 8:00 a 9:00, en otros momentos, el acceso está bloqueado. Como alternativa, el enlace completo con el sistema operativo y los componentes del dispositivo, es decir, la dirección IP y el dispositivo (sistema operativo, programas, etc.) son fijos.

Los ataques de intrusión y piratería ocurren con mayor frecuencia a través de Internet, por lo que la verificación en dos pasos hace que estos ataques sean menos peligrosos. Incluso si un atacante obtiene las credenciales de la cuenta, es poco probable que pueda obtener el segundo factor de autenticación.

Configuración de la verificación en dos pasos

Estos son algunos ejemplos de esos sitios y recursos donde el segundo factor no es solo un atributo en la configuración, sino algún elemento clave que puede afectar significativamente la seguridad de una cuenta.

Así es como se ve la configuración de la autenticación de dos factores en una red social En contacto con:

Le permite brindar una protección confiable contra el pirateo de cuentas: para ingresar a la página, deberá ingresar un código de un solo uso recibido por SMS o de otra manera disponible para la conexión.

Aumenta la seguridad de la cuenta y le pedirá un código de identificación cada vez que inicie sesión desde un nuevo dispositivo.

Google, como una de las compañías globales, simplemente no puede prescindir de esta función y le permite conectar el segundo factor para la autenticación en la configuración:

Cada vez que inicie sesión en su cuenta de Google, deberá ingresar su contraseña y el código de verificación único.

El competidor del anterior también tiene esta funcionalidad en su arsenal:

En este caso, al ingresar a una cuenta de Yandex, no necesitará ingresar una contraseña; deberá especificar un código de verificación de un mensaje SMS.

para los usuarios" dispositivos de manzana"También existe la autenticación de dos factores Apple, que se puede conectar tanto en el teléfono como en la computadora:

Al usar 2FA, será posible acceder a su cuenta de ID de Apple solo ingresando una combinación de verificación especial desde un mensaje SMS o mediante un dispositivo confiable.

Ahora toda empresa u organización que se precie que opere en Internet y donde sea posible registrar una cuenta debería tener una función de autenticación de dos factores. Ni siquiera se trata de respeto, sino del requisito de seguridad en el mundo moderno. La contraseña y el código PIN, si hay tiempo y recursos, se seleccionan en un período de tiempo extremadamente corto, mientras que no siempre es posible que un atacante obtenga el segundo factor. Es por eso que la presencia de esta función se puede observar en casi todos los servicios o sitios (donde hay cuentas de usuario).

¿Dónde puedo habilitar la autenticación de dos factores?

Aquí, lo más probable, es necesario plantear la pregunta de manera un poco diferente: ¿es necesario conectarse? Porque te puedes conectar en casi todos lados, pero ¿es recomendable? Aquí es necesario tener en cuenta el hecho de cuán importante es el recurso para usted y qué información contiene. Si este es un foro en el que estuvo solo una vez y no indicó ningún dato, no se preocupe. Si es, por ejemplo, una red social, correo electrónico o una cuenta personal en un banco en línea, definitivamente es necesario y en este caso no debe haber dudas. Los principales recursos donde puedes conectar la autenticación en dos pasos:

¿Cómo deshabilitar la autenticación de dos factores (2FA)?

Al elegir uno u otro método de autenticación para un sitio, es necesario, en primer lugar, construir sobre el grado requerido de seguridad y facilidad de uso. Porque La vida se esfuerza constantemente por simplificar todos los aspectos de su manifestación, la autenticación de dos factores a menudo se percibe como una especie de barrera adicional que le impide obtener la información necesaria rápidamente y sin acciones innecesarias. Sin embargo, esto no significa que se deba descuidar la seguridad de la cuenta.

Como en el apartado anterior, presta atención a la cuenta y al valor de la información que contiene. Si el robo de esta cuenta no tiene consecuencias irreparables y si el segundo factor crea dificultades adicionales, desactívelo. De lo contrario, no haga esto, sino más bien cuide de qué otra manera puede aumentar el grado de protección y seguridad.

¿Cómo omitir la verificación en dos pasos?

Debe entenderse que dos factores son una buena medida de protección, pero no una panacea y Hay una serie de métodos para sortear todo:

  • robando un dispositivo móvil u otro factor de acceso;
  • duplicando la tarjeta SIM;
  • utilizando software malicioso que interceptará las solicitudes de los usuarios y los mensajes SMS.

Beneficio de la autenticación de dos factores

  • siguiendo el proverbio "Una cabeza es buena, pero dos es mejor", podemos concluir que una contraseña o código PIN es bueno, pero si hay dos, y al mismo tiempo de diferente naturaleza, la seguridad de una cuenta , dispositivo o sistema será mucho más confiable;
  • en caso de robo, fuga o robo del inicio de sesión y - se enterará a través de la aplicación o mensaje SMS, lo que le permitirá reaccionar y recuperar la contraseña de la cuenta comprometida;
  • generación de nuevas combinaciones de códigos únicos cada vez que inicie sesión, mientras que la contraseña permanece constante (hasta que la cambie usted mismo).

Desventajas de la autenticación de dos factores

  • si el factor de autenticación se configura a través de un dispositivo móvil a través de SMS, entonces, si se pierde la señal de la red, no será posible iniciar sesión en la cuenta;
  • si alguien realmente lo necesita, existe la posibilidad de clonar una tarjeta SIM e interceptar mensajes a nivel de un proveedor de servicios móviles;
  • dispositivo móvil en el momento más inoportuno se puede dar de baja.

Conclusión

Hoy en día, muchas grandes empresas confían en la autenticación de dos factores, entre las que se pueden encontrar organizaciones en el campo de TI, el sector financiero del mercado, instituciones gubernamentales y de investigación. Con el tiempo, 2FA se considerará un elemento obligatorio de protección, porque con el desarrollo de la tecnología, también se desarrollan trucos de piratas informáticos para robar información y datos. Si tiene la oportunidad de aprovechar dos factores de seguridad ahora, hágalo.

El uso de autenticación por contraseña en los SI de empresas y organizaciones se está volviendo obsoleto. Al continuar aplicando esta técnica de acceso tradicional a sus propios recursos de información, las empresas en realidad están poniendo en peligro la rentabilidad y, tal vez, la existencia misma de la empresa.

Esta declaración tiene sentido y se aplica, en primer lugar, a las empresas del sector financiero, así como a una serie de empresas que realizan I+D en sectores del mercado de alta tecnología. Veamos las razones de una conclusión tan significativa.

De acuerdo con el estándar de seguridad de la información RF, tres propiedades principales determinan el estado seguro de la información procesada: su confidencialidad, disponibilidad e integridad. Recordemos que la autenticación por contraseña, es decir, es una de las primeras barreras en protección de datos que apareció en los sistemas de TI simultáneamente con los sistemas operativos que implementan el acceso múltiple a los recursos de información, ha estado en la primera línea de control durante casi 20 años. Obviamente, entre las principales ventajas de esta técnica de protección está su familiaridad y sencillez. Y casi nadie cuestionará la suficiencia del uso de la autenticación con contraseña en muchas organizaciones y el nivel de seguridad del uso de la información, con un enfoque organizacional adecuado. Sin embargo...

El 80% de los incidentes de seguridad de la información ocurren debido al uso de contraseñas débiles, según el propio estudio de Trustwave, que abarcó varias empresas en 18 regiones del mundo. Analistas dedicados al estudio de la vulnerabilidad de elementos en los sistemas de seguridad de la información, durante el cual estudiaron más de 300 incidentes ocurridos en 2011. La principal conclusión final es que las contraseñas de usuario débiles en IS son el lugar más vulnerable utilizado por los atacantes, tanto en empresas grandes como pequeñas.

Las contraseñas débiles son malas, pero la desventaja de usar contraseñas complejas es la dificultad de retenerlas en la memoria de una persona. Como resultado, la negligencia de su almacenamiento en forma de registros de trabajo, y en este caso no importa si el par de inicio de sesión / contraseña se registra en el cuaderno personal del empleado o se fija en el monitor con una hoja adhesiva. Conociendo la tradición de tratar este tipo de datos por parte de empleados de empresas rusas, por ejemplo, no será difícil que un atacante obtenga esta información... Si además tenemos en cuenta la frecuente "sincronización" de contraseñas para acceder a varios aplicaciones y sistemas corporativos... Y ahora, al menos dos de los tres pilares de la seguridad de la información, las empresas se ven arrojadas al polvo digital.

Algunas empresas extranjeras que operan en el campo del análisis de incidentes en sistemas de seguridad concluyen que el acceso no autorizado a información de uso limitado sobre la actividad financiera de una empresa, contratos y cronogramas puede afectar no solo pérdidas sino también ruina. Las pérdidas anuales por fugas de información en los EE. UU. se estiman en miles de millones de dólares. El portal de la industria rusa "Seguridad de la información de los bancos" al evaluar el daño financiero por posible abuso de los empleados se refiere a la investigación de la Asociación de Expertos en Fraude (ACFE, EE. UU.), que ve esta cantidad en la cantidad del 6% de la ganancia del banco. por año. Según las observaciones de la asociación, las pérdidas en este tipo de incidentes, en promedio, alcanzaron los $100.000 y en un 14,6% superaron el millón de dólares.

La compañía de investigación Javelin Strategy en su estudio anual publicado en febrero de 2012 estimó el volumen global de fraude y fugas de datos de empresas y organizaciones en $ 18 mil millones en 2011. Bancos y empresas rusas, todos tienen derecho a hacerlo por sí mismos.

A pesar de los muchos medios de la tecnología informática y una amplia gama de soluciones tecnológicas, la elección de métodos de autenticación para las empresas que planean su futuro es pequeña: autenticación multifactor (por supuesto, si no hay un avance tecnológico en la gestión de sistemas informáticos con la ayuda de pensamiento en un futuro próximo). La autenticación de un factor o contraseña para el trabajo seguro con sistemas de información en un negocio desarrollado ya no es suficiente.

Las fortalezas y debilidades de la autenticación multifactor son generalmente conocidas. Las ventajas incluyen su capacidad para proteger la información tanto de amenazas internas como de intrusiones externas. Se puede considerar una cierta debilidad la necesidad de utilizar sistemas adicionales de hardware y software, almacenamiento de datos y dispositivos de lectura. Al mismo tiempo, en este momento, las estadísticas sobre sistemas de piratería que utilizan autenticación de dos factores están ausentes o son insignificantes.

Varias empresas rusas en el campo de las finanzas ya utilizan la autenticación multifactor o extendida al crear servicios de banca por Internet, banca móvil, intercambio de archivos, etc. Soluciones para usuarios finales. Se basa en el uso conjunto de varios factores de autenticación (conocimiento, medio u objetos de almacenamiento de uno de los componentes de información de un procedimiento de autenticación legítimo), lo que aumenta significativamente la seguridad en el uso de la información, al menos para los usuarios que se conectan a los sistemas de información a través de medios seguros. y canales de comunicación inseguros.

Un ejemplo es el proceso de autenticación de usuario de dos factores implementado actualmente por varios bancos rusos: el acceso a la cuenta personal del usuario a través de Internet es posible después de ingresar la contraseña en la página, luego de lo cual (en caso de legitimidad confirmada), un Se debe enviar una contraseña de un solo uso (en forma de SMS) a un teléfono móvil previamente registrado por el usuario.

Esquemas similares para monitorear y administrar los poderes del usuario, sus acciones adicionales en sistemas de información corporativos u otros pueden implementarse utilizando una amplia variedad de herramientas y métodos, cuya elección es bastante amplia, tanto en términos de fabricación, costo, rendimiento y posibles combinaciones de estas propiedades.

La sesión del usuario también se puede monitorear para que coincida con la dirección IP de la última sesión completada con éxito y la dirección MAC del equipo de red correspondiente. A continuación, puede haber acciones para confirmar o denegar el acceso a los recursos de información, pero no se puede confiar en estos dos parámetros de control debido a su debilidad tecnológica: la dirección IP se puede cambiar y la dirección MAC simplemente se puede reescribir durante la operación del sistema. e incluso sin reiniciar. Sin embargo, esta información se puede utilizar como algunos valores de control.


Algunos ejemplos de autenticación de dos factores y multifactor

La técnica de autenticación por SMS se basa en el uso de una contraseña de un solo uso: la ventaja de este enfoque, en comparación con una contraseña permanente, es que esta contraseña no se puede reutilizar. Incluso si asumimos que el atacante logró interceptar los datos durante el intercambio de información, no podrá utilizar efectivamente la contraseña robada para acceder al sistema.

Y aquí hay un ejemplo implementado usando dispositivos biométricos y métodos de autenticación: usando un escáner de huellas dactilares, que está disponible en varios modelos de computadoras portátiles. Al iniciar sesión, el usuario debe pasar por un procedimiento de escaneo de huellas dactilares y luego confirmar sus credenciales con una contraseña. La autenticación completada con éxito le dará derecho a usar los datos locales de una PC en particular. Sin embargo, las reglas de trabajo en el SI pueden prever un procedimiento de autenticación separado para acceder a los recursos de la red de la empresa, que, además de ingresar una contraseña diferente, puede incluir una serie de requisitos para la representación de los autenticadores del sujeto. Pero incluso con tal implementación, la seguridad del sistema sin duda mejora.

Otros autenticadores biométricos se pueden usar de manera similar:

  • geometría de la mano;
  • la forma y el tamaño de la cara;
  • características de la voz;
  • patrón del iris y la retina;
  • dibujo de las venas de los dedos.

En este caso, por supuesto, se utiliza el hardware y el software apropiados, y los costos de adquisición y soporte pueden variar significativamente.

¡Pero! Debe entenderse que los autenticadores biométricos no son datos absolutamente precisos. Las huellas dactilares de un dedo pueden diferir bajo la influencia del entorno externo, el estado fisiológico del cuerpo humano, etc. Para confirmar con éxito este autenticador, es suficiente que la huella digital no coincida completamente con el estándar. Los métodos de autenticación biométrica contienen la determinación del grado de probabilidad de cumplimiento del autenticador actual con el estándar. En cuanto a la autenticación biométrica y el acceso remoto a IS, las tecnologías modernas aún no tienen la capacidad de transmitir datos confiables a través de canales inseguros: una huella digital o un escaneo de retina.

Estas tecnologías son más adecuadas para su uso en redes corporativas.

La tecnología más popular en esta dirección, en un futuro cercano, puede ser la autenticación de voz y las señales de eso en la cara. Un número significativo de desarrollos en esta área ya están disponibles en la actualidad, los proyectos para la introducción de dichos mecanismos de gestión / control han encontrado un lugar en varios grandes bancos de la Federación Rusa. Como ejemplo de la aplicación práctica de los sistemas de autenticación biométrica de voz, se puede indicar la autenticación de frase clave utilizada en varios centros de llamadas, contraseñas de audio para acceder a los sistemas de banca por Internet, etc., confirmación de acciones del personal al realizar operaciones importantes de acceso a la información, control de acceso físico y presencia en la sala.

Además de las tecnologías relacionadas con el uso de autenticadores biométricos, también existen soluciones de software y hardware, como claves fuera de línea para generar contraseñas de un solo uso, lectores de etiquetas RFID, criptocalculadoras, tokens de software y hardware (tokens), claves electrónicas de varios tipos. - Memoria táctil y llave/tarjeta inteligente, así como tarjetas de identificación biométrica. Todos los sistemas y métodos de autenticación multifactor enumerados en el artículo, y además de ellos, los sistemas de gestión y control de acceso (ACS) pueden integrarse, combinarse, resolverse uno por uno y en un complejo. De esto podemos concluir que hay un número suficiente de propuestas en el mercado ruso para mejorar la protección de los sistemas de información, tanto de intrusiones internas como externas. Las empresas tienen una opción, limitada solo por el tamaño del presupuesto.

Hoy en día, un gran número de empresas extranjeras confían en los métodos de seguridad basados ​​en métodos de autenticación multifactor, incluidas organizaciones de alta tecnología, sectores financieros y de seguros del mercado, grandes instituciones bancarias y empresas del sector público, organizaciones de expertos independientes y empresas de investigación.

Al mismo tiempo, las empresas y organizaciones privadas en el mundo, en general, no están muy dispuestas a hablar sobre la introducción de innovaciones tecnológicas en el campo de la seguridad y protección de la información, por razones obvias. Se sabe mucho más sobre proyectos en el sector público: desde 2006, se han dado a conocer públicamente soluciones tecnológicas implementadas con éxito en instituciones públicas de Canadá, Arabia Saudita, España, Dinamarca y otros países.

El material fue elaborado por la empresa "Indid"



¿Te gustó el artículo? Compártelo
Artículos relacionados recomendados
Autenticación de dos factores, cómo funciona y se usa Los investigadores demuestran un ataque simple para evitar la autenticación de dos factoresAutenticación de dos factores, cómo funciona y se usa Los investigadores demuestran un ataque simple para evitar la autenticación de dos factores
Elegimos una tableta económica de alta calidad fabricada en China. ¿Qué tableta es la mejor de los chinos?Elegimos una tableta económica de alta calidad fabricada en China. ¿Qué tableta es la mejor de los chinos?
Un chatbot de Microsoft odiaba a la humanidad en un día y se convirtió en nazi (actualizado) Cómo fue: la evolución de la Un chatbot de Microsoft odiaba a la humanidad en un día y se convirtió en nazi (actualizado) Cómo fue: la evolución de la "conciencia" del bot
Los visitantes ahora están discutiendo
Cómo desinstalar un programa que no se desinstalaCómo desinstalar un programa que no se desinstala Televisores LG
Microsoft lumia 550 instrucciones de usoMicrosoft lumia 550 instrucciones de uso enlace D
Revisión del sistema de altavoces Samsung Level Box Slim!Revisión del sistema de altavoces Samsung Level Box Slim! iPhone/iPad
Xiaomi Mi5 - delgadas y poderosas dimensiones de Xiaomi mi5Xiaomi Mi5 - delgadas y poderosas dimensiones de Xiaomi mi5 Enlace TP