Pagina principal Seguridad Es hora de dejar de usar las aplicaciones SMS y 2FA para la autenticación de dos factores

Es hora de dejar de usar las aplicaciones SMS y 2FA para la autenticación de dos factores

  • Peter Holmes
  • 0
  • 1862
  • 377
Anuncio

En estos días, parece que cada sitio web que visita intenta alentarlo a usar la autenticación de dos factores (2FA).

Una de las formas más comunes de usar 2FA es ingresar un código único desde su dispositivo móvil. Normalmente, recibe el código en un mensaje de texto o utiliza una aplicación 2FA de terceros para generar uno.

Los dos métodos son formas populares de usar códigos debido a su conveniencia. Sin embargo, ambos métodos también son débiles desde el punto de vista de la seguridad. Y debido a que su código 2FA es tan seguro como la tecnología utilizada para entregarlo, las debilidades son importantes.

Entonces, ¿qué tiene de malo usar SMS y aplicaciones de terceros para acceder a sus códigos? ¿Qué son los inicios de sesión sin contraseña? ¿Son realmente seguros? ¿Qué son los inicios de sesión sin contraseña? ¿Son realmente seguros? Llegan inicios de sesión sin contraseña. ¿Son seguros? ¿Cómo funcionan los inicios de sesión sin contraseña? Esto es lo que necesitas saber. ? ¿Y hay una alternativa igualmente conveniente que sea más segura? Vamos a explicar todo. Sigue leyendo para saber más.

Cómo funciona la autenticación de dos factores

Dediquemos un momento a analizar cómo funciona la autenticación de dos factores. Sin comprender la mecánica detrás de la tecnología, el resto de este artículo no tendrá mucho sentido.

En términos generales, 2FA agrega una capa adicional de seguridad a su cuenta Cómo proteger sus cuentas con 2FA: Gmail, Outlook y más Cómo proteger sus cuentas con 2FA: Gmail, Outlook y más ¿Puede la autenticación de dos factores ayudar a asegurar tu correo electrónico y redes sociales? Esto es lo que necesita saber para estar seguro en línea. . También conocido como autenticación multifactor, las credenciales de inicio de sesión consisten no solo en una contraseña, sino también en una segunda información a la que solo el propietario legítimo de la cuenta tiene acceso.

2FA viene en muchas formas diferentes Los pros y los contras de los tipos y métodos de autenticación de dos factores Los pros y los contras de los tipos y métodos de autenticación de dos factores Los métodos de autenticación de dos factores no son iguales. Algunos son demostrablemente más seguros y más seguros. Aquí hay un vistazo a los métodos más comunes y cuáles satisfacen mejor sus necesidades individuales. . En su nivel más básico, podría ser algo tan simple como las preguntas de seguridad (porque nadie más podría saber el apellido de soltera de su madre ¿Por qué está respondiendo preguntas de seguridad de contraseña incorrecta? ¿Por qué está respondiendo preguntas de seguridad de contraseña incorrecta? ¿Cómo responde en línea? ¿preguntas de seguridad de la cuenta? ¿Respuestas honestas? Desafortunadamente, su honestidad podría crear una grieta en su armadura en línea. Veamos cómo responder de manera segura a las preguntas de seguridad o a su mascota favorita). En el extremo más complicado, podría ser una identificación biométrica, como un escaneo de retina o una huella digital.

Por qué debería evitar la verificación por SMS

SMS goza de una posición como la forma más accesible de acceder y usar códigos 2FA. Si un sitio ofrece inicios de sesión de autenticación de dos factores, casi con seguridad ofrece SMS como una de las opciones.

Pero los SMS no son una forma segura de usar 2FA. Tiene dos vulnerabilidades clave..

En primer lugar, la tecnología es susceptible a ataques de intercambio de SIM. Un pirata informático no necesita mucho para realizar un intercambio de SIM. Si tienen acceso a otra información personal, como su número de seguro social, pueden llamar a su proveedor y transferir su número a una nueva tarjeta SIM.

En segundo lugar, los hackers pueden interceptar mensajes SMS. Todo vuelve al sistema de enrutamiento telefónico del Sistema de Señalización No. 7 (SS7) ahora fechado. La metodología fue diseñada en 1975, pero todavía se usa casi a nivel mundial para conectar y desconectar llamadas. También maneja traducciones de números, facturación prepaga y, de manera crucial, mensajes SMS.

Como era de esperar, esta tecnología de 1975 está llena de agujeros de seguridad. Así es como el experto en seguridad Bruce Schneier describió los defectos:

“Si los atacantes tienen acceso a un portal SS7, pueden reenviar sus conversaciones a un dispositivo de grabación en línea y redirigir la llamada a su destino previsto [...] Esto significa que un criminal bien equipado podría capturar sus mensajes de verificación y usarlos antes de que haya incluso los vi.”

Por supuesto, descubrir que un ciberdelincuente ha pirateado su Facebook Cómo averiguar si su cuenta de Facebook ha sido pirateada Cómo averiguar si su cuenta de Facebook ha sido pirateada Con Facebook albergando tantos datos, debe mantener su cuenta segura. Te mostramos cómo averiguar si tu Facebook ha sido pirateado. cuenta está lejos de ser ideal. Pero la situación es más aterradora cuando considera otros usos de 2FA. Un ciberdelincuente podría robar los códigos que usa en su banca en línea, o incluso iniciar y completar transferencias de dinero Las 6 mejores aplicaciones para enviar dinero a amigos Las 6 mejores aplicaciones para enviar dinero a amigos La próxima vez que necesite enviar dinero a amigos, marque estas excelentes aplicaciones móviles para enviar dinero a cualquier persona en minutos. .

Además, Schneier también afirma que cualquiera puede comprar el acceso a la red SS7 por alrededor de $ 1,000. Una vez que tienen acceso, pueden enviar una solicitud de enrutamiento. Para completar el problema, la red puede no autenticar la fuente de la solicitud.

Recuerde, usar la autenticación de dos factores por SMS es mejor que dejar 2FA deshabilitado. Y probablemente sea poco probable que se convierta en una víctima. Sin embargo, si comienza a sentirse un poco preocupado, debe seguir leyendo. Muchas personas aceptan que los SMS no son seguros y recurren a aplicaciones de terceros..

Pero eso puede no ser mucho mejor.

Por qué debería evitar las aplicaciones 2FA

La otra forma común de usar códigos 2FA es instalar una aplicación dedicada para teléfonos inteligentes. Hay mucho para elegir. Google Authenticator es posiblemente el más reconocible, pero no es necesariamente el mejor. Existen muchas alternativas: consulte Authy, Authenticator Plus y Duo.

Pero, ¿qué tan seguras son las aplicaciones especializadas de 2FA? Su mayor debilidad es su dependencia de una clave secreta.

Retrocedamos un segundo. En caso de que no lo sepa, cuando se registre en muchas de las aplicaciones por primera vez, deberá ingresar una clave secreta. El secreto se comparte entre usted y el proveedor de la aplicación..

Cuando accede a un sitio, el código que crea la aplicación se basa en una combinación de su clave y la hora actual. En el mismo momento, el servidor está generando un código utilizando la misma información. Los dos códigos deben coincidir para que se otorgue el acceso. Suena sensato.

Entonces, ¿por qué las llaves son el punto débil? Bueno, ¿qué sucede si un ciberdelincuente logra obtener acceso a la base de datos de contraseñas y secretos de una empresa? Cada cuenta sería vulnerable: el atacante podría ir y venir. Cómo verificar si alguien más está accediendo a su cuenta de Facebook Cómo verificar si alguien más está accediendo a su cuenta de Facebook Es siniestro y preocupante si alguien tiene acceso a su cuenta de Facebook sin su conocimiento. Aquí le mostramos cómo saber si ha sido violado. a voluntad.

En segundo lugar, el secreto se muestra en texto plano o como un código QR; no se puede mezclar ni usar con sal Lo que todo este material de hash MD5 significa en realidad [Tecnología explicada] Lo que todo este material de hash MD5 realmente significa [tecnología explicada] Aquí hay un resumen completo de MD5, hashing y una pequeña descripción de las computadoras y criptografía. . Probablemente también esté en texto plano en los servidores de la compañía.

La clave secreta es la falla fundamental en la Contraseña de un solo uso basada en el tiempo (TOTP) que usan las aplicaciones especializadas. Es por eso que una clave U2F física siempre es una opción más segura.

Defectos en diseño y seguridad para aplicaciones 2FA

Por supuesto, las posibilidades de que un ciberdelincuente piratee las bases de datos necesarias de una aplicación de terceros son bastante pequeñas. Pero su aplicación también podría sufrir fallas básicas de seguridad en su diseño.

Administrador de contraseñas popular LastPass 8 maneras fáciles de sobrealimentar su seguridad LastPass 8 formas fáciles de sobrecargar su seguridad LastPass Puede estar usando LastPass para administrar sus muchas contraseñas en línea, pero ¿lo está usando bien? Aquí hay ocho pasos que puede seguir para hacer que su cuenta de LastPass sea aún más segura. cayó víctima en diciembre de 2017. Una publicación de blog del programador en Medium reveló que se podía acceder a las claves secretas de 2FA sin una huella digital, contraseña u otras medidas de seguridad.

La solución no fue ni siquiera complicada. Al acceder a la actividad de configuración de la aplicación LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), se puede ingresar al panel de configuración de la aplicación sin ninguna comprobación. Desde allí, puedes presionar atrás una vez para acceder a todos los códigos 2FA.

LastPass ahora ha solucionado la falla, pero las preguntas permanecen. Según el programador, había tratado de contarle a LastPass sobre el problema durante siete meses, pero la compañía nunca lo solucionó. ¿Cuántas otras aplicaciones 2FA de terceros son inseguras? ¿Y cuántas vulnerabilidades sin reparar conocen los desarrolladores pero retrasan la aplicación de parches? También hay preocupaciones cuando se trata de perder el acceso a su generador de códigos en Facebook. Cómo iniciar sesión en Facebook si pierde el acceso al generador de códigos Cómo iniciar sesión en Facebook si pierde el acceso al generador de códigos ¿Perdió el acceso al generador de códigos de Facebook? Este artículo cubre métodos alternativos para iniciar sesión en su cuenta de Facebook. por ejemplo.

Qué hacer en su lugar: usar teclas U2F

En lugar de confiar en los códigos SMS y 2FA para sus códigos, debe usar las teclas de segundo factor universales ¿Qué son las teclas U2F y dónde se admiten? ¿Qué son las claves U2F y dónde se admiten? Las claves U2F son una de las mejores formas de mantener sus cuentas seguras y protegidas. Pero, ¿dónde se admiten las claves U2F? (U2F). Son la forma más segura de generar códigos y acceder a sus servicios..

Considerado ampliamente como una versión de segunda generación de 2FA, simplifica y fortalece el protocolo actual. Además, usar las teclas U2F es casi tan conveniente como abrir un mensaje SMS o una aplicación de terceros.

Las teclas U2F usan una conexión NFC o USB. Cuando conecta su dispositivo a una cuenta por primera vez, generará un número aleatorio llamado “Mientras tanto.” El Nonce se combina con el nombre de dominio del sitio para crear un código único.

A partir de entonces, puede implementar su clave U2F conectándola a su dispositivo y esperando que el servicio la reconozca.

Entonces, ¿cuál es el inconveniente? Bueno, aunque U2F es un estándar abierto, todavía cuesta dinero comprar una llave física U2F. Y quizás más preocupante, estás en riesgo de robo.

Una clave U2F robada no hace que su cuenta sea insegura automáticamente; un hacker aún necesitaría saber su contraseña. Pero en un área pública, es posible que un ladrón ya lo haya visto ingresar su contraseña desde lejos, antes de robar sus pertenencias.

Las llaves U2F pueden ser caras

Los precios varían considerablemente entre fabricantes, pero puede esperar pagar entre aproximadamente $ 15 y $ 50.

Idealmente, desea comprar un modelo que sea “Certificado FIDO.” La Alianza FIDO (Fast IDentity Online) es responsable de lograr la interoperabilidad entre las tecnologías de autenticación. Los miembros incluyen a todos, desde Google y Microsoft, hasta Bank of America y MasterCard.

Al comprar un dispositivo FIDO, puede estar seguro de que la clave U2F funcionará con todos los servicios que utiliza todos los días. Consulte la clave DIGIPASS SecureClick U2F si desea comprar una.

2FA inseguro es aún mejor que no 2FA

Para resumir, las teclas Universal 2nd Factor proporcionan un medio feliz entre la facilidad de uso y la seguridad. SMS es el enfoque menos seguro, pero también el más conveniente.

Y recuerde, cualquier 2FA es mejor que no 2FA. Sí, puede demorar 10 segundos adicionales para iniciar sesión en ciertas aplicaciones, pero es mejor que sacrificar su seguridad.




Nadie ha comentado sobre este artículo todavía.

Lo que necesita saber sobre la fuga masiva de cuentas de LinkedIn
Seguridad
Aumente su privacidad de iOS con estas configuraciones y ajustes
Seguridad
Cómo se pueden usar los servicios de accesibilidad de Android para hackear tu teléfono
Seguridad
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.