La autenticación de dos factores por SMS no es perfecta, pero aún debe usarla



En la búsqueda de la seguridad perfecta, lo perfecto es enemigo de lo bueno. La gente está criticando los SMS Autenticación de dos factores a raíz de el truco de Reddit , pero usar dos factores basados ​​en SMS sigue siendo mucho mejor que no usar la autenticación de dos factores en absoluto.

Más del 90% de los usuarios de Gmail no utilizan la autenticación de dos factores





Los profesionales de seguridad que dicen que la verificación por SMS no es lo suficientemente buena se están adelantando demasiado. Más del 90% de los usuarios de Gmail no utilizan ninguna autenticación de dos factores, según un presentación El ingeniero de Google Grzegorz Milka dio en USENIX Enigma 2018. Lo primero que la mayoría de las personas pueden hacer para protegerse en línea es habilitar cualquier tipo de autenticación de dos factores para sus cuentas importantes.

Piensa en esto, de esta manera. Digamos que quiere poner un candado en la puerta de su casa para proteger su hogar. Los profesionales de la seguridad argumentan que el mejor tipo de cerradura disponible es mucho mejor que las cerraduras más baratas. Claro, tiene sentido. Pero si ese candado más caro no está disponible para usted, ¿no es mejor tener un candado más barato que no tener ningún candado?



Sí, la autenticación de dos factores basada en aplicaciones es mejor que la autenticación basada en SMS. Pero, si SMS es todo lo que ofrece un servicio, es mejor que no usarlo en absoluto.

El factor doble basado en SMS tiene algunas debilidades, pero no es el punto. Un atacante tendrá que dedicar tiempo a eludir su verificación por SMS. Y la mayoría de los objetivos probablemente no merecen tanto esfuerzo.

Por qué necesita la autenticación de dos factores

La autenticación de dos factores se llama así porque requiere que tenga dos cosas para ingresar a su cuenta: algo que sepa (su contraseña) y algo que tenga (un código de seguridad adicional de su dispositivo móvil o un token físico).



Anuncio publicitario

Cuando habilita la autenticación de dos factores basada en SMS, el servicio enviará a su número de teléfono móvil un mensaje de texto con un código de un solo uso cada vez que inicie sesión desde un nuevo dispositivo. Por lo tanto, incluso si alguien tiene su nombre de usuario y contraseña para esa cuenta, no podrá iniciar sesión en su cuenta sin acceder a sus mensajes de texto.

También hay otros tipos de métodos de dos factores , incluyendo aplicaciones en tu teléfono que generan códigos de seguridad temporales y llaves de seguridad físicas tienes que conectarlo a tu computadora.

Cualquier tipo de autenticación de dos factores proporciona una gran cantidad de protección para cuentas importantes como su correo electrónico, redes sociales y cuentas bancarias. Esto es especialmente cierto si reutiliza las contraseñas. Muchas personas reutilizan contraseñas en varios sitios web y, cuando se filtra la base de datos de contraseñas de un sitio web, esa contraseña se puede utilizar para iniciar sesión en sus cuentas de correo electrónico . La autenticación de dos factores detendría esto de inmediato.

Eso no significa que deba reutilizar las contraseñas. No debe reutilizar las contraseñas. Debería usa un buen administrador de contraseñas para realizar un seguimiento de contraseñas únicas y seguras.

¿Por qué la gente dice que la autenticación por SMS es mala?

La autenticación de dos factores basada en SMS no se considera ideal porque alguien podría robar su número de teléfono o interceptar sus mensajes de texto. Por ejemplo:

  • Un atacante podría hacerse pasar por usted y mover su número de teléfono a un nuevo teléfono en un estafa de portabilidad de número de teléfono . Este es el ataque más probable.
  • Un atacante podría interceptar los mensajes SMS destinados a usted. Por ejemplo, podrían falsificar una torre celular cerca de usted, o un gobierno podría usar su acceso a la red celular para reenviar mensajes.
Anuncio publicitario

Es por eso que los expertos recomiendan usar otro método de dos factores, uno que no pueda ser abusado tan fácilmente por los estados nacionales y que no sea vulnerable si su proveedor de telefonía celular le da su número de teléfono a otra persona. Si obtiene su código de una aplicación en su teléfono o una llave de seguridad física que conecta, su factor doble no es vulnerable a problemas con la red telefónica. El atacante necesitaría su teléfono desbloqueado o la clave de seguridad física que tiene para iniciar sesión.

Claro, en un mundo perfecto, los SMS no son la solución ideal. Hemos explicado por qué a los expertos en seguridad no les gusta la autenticación en dos pasos basada en SMS . Pero, incluso cuando presentamos ese caso, intentamos dejar una cosa clara: la autenticación de dos factores basada en SMS es mucho, mucho mejor que nada.

RELACIONADO: Por qué no debería usar SMS para la autenticación de dos factores (y qué usar en su lugar)

Algunas personas necesitan más seguridad que la que proporcionan los SMS

La persona promedio está bien con la autenticación basada en SMS por ahora. La autenticación basada en SMS hace que los atacantes tengan muchos problemas adicionales para ingresar a su cuenta, y probablemente no valga la pena cuando hay otros objetivos más fáciles y jugosos por ahí. La mayoría de la gente ni siquiera usa la autenticación por SMS, y la Web sería un lugar mucho más seguro si todos lo hicieran.

Las personas que probablemente sean el objetivo de atacantes sofisticados deben evitar la autenticación basada en SMS. Por ejemplo, si eres político, periodista, famoso o líder empresarial, podrías ser un objetivo. Si es una persona con acceso a datos corporativos confidenciales, un administrador de sistemas con acceso profundo a sistemas confidenciales o simplemente alguien con mucho dinero en el banco, los SMS pueden ser demasiado riesgosos.

Pero, si usted es la persona promedio con una cuenta de Gmail o Facebook y nadie tiene una razón para pasar mucho tiempo obteniendo acceso a sus cuentas, la autenticación por SMS está bien y debe habilitarla absolutamente en lugar de usar nada en absoluto.

Eres tan seguro como el enlace más débil

Aquí hay otra verdad desafortunada que todos parecen pasar por alto: incluso si evita la autenticación de dos factores basada en SMS para una cuenta, es probable que los SMS estén disponibles como método alternativo. Por ejemplo, incluso si genera códigos con una aplicación para iniciar sesión en su cuenta de Google, puede recupera tu cuenta usando su número de teléfono. Esto es para protegerte si alguna vez perder el acceso a su teléfono de dos factores o token.

Anuncio publicitario

En otras palabras, muchos servicios, probablemente incluso la mayoría, le permiten ingresar a su cuenta con su número de teléfono, incluso si usa un código generado por la aplicación o una clave de seguridad física la mayor parte del tiempo. Eres tan seguro como el eslabón más débil del sistema. Prueba a comprobar las otras formas en las que puedes iniciar sesión si no tienes tu método habitual.

Por eso, para bloquear realmente una cuenta de Google, no solo necesita evitar la autenticación de dos pasos basada en SMS. También necesitas inscribirte en Programa de protección avanzada de Google , que es publicidad de Google para periodistas, activistas, líderes empresariales y equipos de campañas políticas. Este programa gratuito requiere que uses una clave de seguridad física para iniciar sesión, pero también requiere mucha más información para recuperar tu cuenta.

Utilice SMS si no está utilizando 2FA en este momento

No queremos arrullarlo con una falsa sensación de seguridad: si es alguien que probablemente sea blanco de gobiernos extranjeros, espías corporativos o delincuentes organizados, debe evitar la autenticación de dos factores basada en SMS y bloquear su cuentas con algo más seguro.

Pero, si usted es la persona promedio que aún no ha habilitado la autenticación de dos factores, no se desanime: los dos factores basados ​​en SMS lo harán mucho más seguro que ninguno de dos factores. Es una base importante para la seguridad.

Todos deberían usar la verificación por SMS a menos que estén usando algo mejor.

Credito de imagen: golubovystock /Shutterstock.com.

LEER SIGUIENTE Foto de perfil de Chris Hoffman Chris Hoffman
Chris Hoffman es editor en jefe de How-To Geek. Ha escrito sobre tecnología durante más de una década y fue columnista de PCWorld durante dos años. Chris ha escrito para The New York Times, ha sido entrevistado como experto en tecnología en estaciones de televisión como NBC 6 de Miami y su trabajo fue cubierto por medios de comunicación como la BBC. Desde 2011, Chris ha escrito más de 2,000 artículos que se han leído casi mil millones de veces, y eso es solo aquí en How-To Geek.
Leer biografía completa

Artículos De Interés