Sin embargo, existen otras formas de autenticarnos en los que interviene otro elemento. Pasamos del “algo que sé”, es decir, una contraseña, una clave o un PIN, al “algo que tengo”, como por ejemplo, un token USB o una tarjeta de coordenadas.
La utilización de las contraseñas sirve para autentificar al usuario frente al proceso de verificación de identidad de cualquier servicio que lo requiera. De este modo, se asegura que el usuario es realmente quien dice ser y no un impostor. No obstante, no es el único mecanismo que hay para identificar a un usuario. Veamos las diferentes opciones:
- Sistemas basados en algo conocido por el usuario. El más utilizado por todos es la contraseña.
- Sistemas basados en algo que posee el usuario. Habitualmente se emplean tarjetas de identidad o de coordenadas, o un token (generador de claves) que puede ser físico o virtual.
- Sistema basado en características físicas del usuario. Puede ser una huella dactilar, reconocimiento facial o incluso activación por voz.
La primera opción es la principal y más extendida entre la mayoría de usuarios. Se ha convertido en una actividad básica y cotidiana el crearnos una cuenta mediante el uso de un usuario y una contraseña, sin embargo, este proceso presenta una serie de vulnerabilidades:
- Relacionadas con la capacidad de los usuarios para crear y recordar largas cadenas de caracteres, así como, varias contraseñas a la vez.
- Relacionadas con las técnicas empleadas por los ciberdelincuentes, que cada vez son más sofisticadas y consiguen obtener nuestras claves más fácilmente.
¿Qué es la autenticación de doble o múltiple factor?
La autenticación doble, o verificación en dos pasos, es una capa adicional de seguridad que complementa el uso de una contraseña. Su objetivo es el de asegurarse de que el usuario no solo conoce la contraseña para acceder al servicio, sino que además es quien dice ser aportando en el proceso de logueo información, un código por ejemplo, sobre algo que solo él posee. Dicha información puede obtenerla de la siguiente forma:
- A través de una llamada de teléfono o SMS enviado por el servicio.
- Haciendo uso de una tarjeta inteligente (token) física o virtual.
- Utilizando un dispositivo biométrico.
Como decíamos, en los procesos de doble verificación, el primer factor suele ser una contraseña que conocemos y que hemos creado nosotros, mientras que el segundo factor suele ser un código aleatorio generado por un “token” de autenticación, por un dispositivo externo, por una app instalada en nuestro smartphone o equipo, o por verificación biométrica.
El procedimiento es muy sencillo:
- Accedemos a la pantalla de inicio de sesión del servicio.
- Insertamos nuestro usuario y contraseña (lo que ya conocemos).
- Se nos pide confirmación de autenticación por medio de un código que recibimos en un token (lo que tenemos).
- Y finalmente, también pueden pedirnos un tercer factor a través de un dispositivo biométrico, por ejemplo, nuestra huella dactilar (lo que somos).
La doble o múltiple verificación, al comprobar varias veces mediante diferentes mecanismos que realmente somos quien decimos ser, agrega varias capas de seguridad extra a nuestras cuentas, complicando cualquier intento de intrusión a nuestros espacios privados virtuales.
¿Es realmente necesario hacer uso de estos sistemas?
Los ciberdelincuentes están continuamente buscando nuevas formas con las que acceder a nuestra información, ya sea para robar nuestros datos, tener acceso a nuestros servicios, extorsionarnos, etc. Las formas mediante las cuales tratan de obtener nuestras credenciales son muy variadas como ya hemos contado en otras ocasiones: fuerza bruta, phishing, malware, etc.
Mediante el factor doble y múltiple de autenticación se reducen una gran cantidad de estos riesgos, ya que aunque obtengan nuestras contraseñas, para acceder a nuestros servicios necesitarán estar en posesión de esa segunda capa de seguridad que hemos implementado.
Sin embargo, aunque utilicemos múltiples factores de autenticación, probablemente el uso de usuarios y contraseñas como parte del proceso de autenticación seguirá siendo parte de nuestra rutina durante mucho tiempo, por tanto, tendremos que esforzarnos en crear contraseñas robustas.
¿Podemos categorizar nuestras cuentas según la criticidad de la información?
Dependiendo de lo crítica o sensible que sea la información que estemos tratando de proteger, podemos implementar una política de contraseñas u otra. De esta forma, si se trata de un servicio que contiene información poco o nada sensible, emplearemos contraseñas robustas (por ejemplo, 8 caracteres alfanuméricos) pero sin factor de autenticación con más elementos.
Por el contrario, si se tratase de una aplicación o servicio muy crítico, aumentaríamos nuestras medidas de seguridad a través de contraseñas robustas (12 caracteres) y algún elemento más como el uso de tokens o incluso mediante biometría.
¿Cómo configurar el doble factor en nuestras cuentas de usuario?
Hoy en día, existen muchos servicios que ofrecen un factor de autenticación múltiple por defecto. Entre los servicios que sí incluyen un factor de autenticación múltiple, encontramos los siguientes:
No obstante, algunos servicios donde alojamos información crítica no lo implementan, como por ejemplo, servicios bancarios. Para estos casos, existen multitud de aplicaciones para dotar al usuario de este segundo nivel de seguridad:
- Latch: a través de esta aplicación podrás implementar un “pestillo de seguridad” en tus servicios online.
- Google Authenticator: aplicación para el doble factor de autenticación de Google, muy sencilla de utilizar. Disponible en Android e iOS.
- Duo Mobile: fácil y sencilla de utilizar, ya que además oculta los códigos por defecto para protegerte de miradas indiscretas. También disponible en Android e iOS.
- Authy: aplicación más avanzada, que permite almacenar tokens en la nube.
- PixelPrivacy:
En cualquier caso, debemos seguir tratando de implementar buenos hábitos relacionados con la creación de contraseñas robustas y con la utilización de herramientas como los gestores de contraseñas para no tener que memorizar todas ellas. Y, por supuesto, de ser posible, siempre utilizar el factor de autenticación doble o múltiple.