¿Qué es la autenticación de doble factor?
Desde hace una temporada parece que esto de la autenticación de doble factor (2FA) se ha puesto cada vez más y más de moda y aparece en casi todos los servicios que usamos en nuestro día a día. Da igual si hablamos de nuestro correo en Gmail, nuestros archivos en Dropbox, nuestro usuario de banca online… hasta nuestra cuenta de Steam.
Hay servicios que te obligan a configurarlo. Otros servicios lo implementan por su cuenta sin que tú seas plenamente consciente (ojo, esto no es malo de por si). Los hay, incluso, que te ofrecen algún beneficio extra si activas esta capa extra de seguridad en tu cuenta. Pero muchos de ellos se limitan a mostrar un mensaje de vez en cuando al acceder a la cuenta. Si, ese mensaje que parece molestarnos y lo cerramos en cuanto lo vemos.
Pero, ¿qué es exactamente esto del doble factor de autenticación?
Al iniciar sesión con tu cuenta en cualquier servicio usas un elemento que intenta asegurar que eres tú quien accede al servicio: tu contraseña. Pues bien, el doble factor es añadir otra cosa que ayude a verificar que realmente eres tú.
Métodos más usados de 2FA
Los métodos más usados para conseguir el objetivo de verificar más fuerte que realmente eres tú la persona que intenta iniciar sesión son:
- Código por SMS: lo habitual en el sector bancario especialmente. Antes de confirmar la operación (compra online con tarjeta de crédito, inicio de sesión en la app del banco…) te llega un código al móvil (previamente configurado y verificado) que has de introducir para que la operación se complete.
- Tarjeta de códigos: otra habitual en la banca que casi ya no se usa. En algunas entidades se facilitaba una tarjeta con códigos aleatorios. En lugar de enviar un código por SMS cada vez que se realizaba una operación se te pedía introducir el código 384 o F4 (posiciones aleatorias, por poner un par de ejemplos).
- Código por email: similar al código por SMS con la diferencia de que recibes el código en un correo electrónico que previamente has configurado y verificado en tu perfil.
- Verificación de datos de contacto: al intentar iniciar sesión, con un nombre de usuario, en un dispositivo no reconocido te pide que verifiques, por ejemplo, el correo electrónico asociado a tu cuenta.
- Aplicación que genera códigos TOTP: configurar una aplicación generadora de códigos TOTP (Time-based One-time Passwords) como Authy, Microsoft Authenticator, LastPass Auth, Aegis, andOTP, Bitwarden (si tienes cuenta premium 10$/año)… En esta aplicación podrás ver el código que te toca introducir en cada momento. Ventaja: No dependes de tener cobertura y/o acceso a internet como la verificación por SMS o correo electrónico.
- Confirmación con otro dispositivo: al iniciar sesión en un dispositivo no reconocido envía algún tipo de confirmación (notificación push, mensaje con código…) a un dispositivo verificado con anterioridad. El inicio de sesión no se completa hasta que no has verificado desde el dispositivo confirmado. Este es el método que usa, por defecto, Apple.
Por supuesto existen otros métodos (como la confirmación vía dispositivos físicos como dispositivos USB/NFC) pero los anteriores son, posiblemente, los más utilizados y que menor coste suponen.
Pero… ¿necesito estos líos? ¿es infalible?
Por desgracia es demasiado habitual encontrarse con esa mentalidad de: ¿quien va a querer acceder a nada mío? total, tampoco tengo nada que esconder… Aunque normalmente esta actitud cesa cuando se suele empezar a hablar del tema económico.
Si la pregunta es ¿voy a morir si no empiezo a usar métodos de doble factor de autenticación? Puedes dejar de preocuparte. No, nadie va a morir por no usarlos. Pero es que tampoco hay ninguna necesidad de renunciar a un extra de seguridad que apenas necesita de un par de minutos de tu tiempo para configurarse, ¿verdad?
Tampoco voy a decir que es un método infalible al 100%. Siempre hay gente con mucho tiempo libre y ganas de hacer cosas no demasiado buenas, eso es así y hay que ser conscientes. Pero imagina la siguiente situación: miras por la ventana antes de salir de casa y está lloviendo fuera… ¿sales de casa con una camiseta o llevas un paraguas y/o ropa impermeable? Pues con esto yo haría algo parecido…