Evernote
Otro servicio en línea añade la autenticación de dos factores a su lista de características. Esta vez fue Evernote, el servicio de toma de notas basado en la nube que los hackers lograron comprometer y utilizar como un servidor de comando y de control en dos ocasiones en marzo.
Tan de moda está la autenticación de dos factores, que mientras escribía este mismo informe, que se suponía iba a ser sobre Evernote, LinkedIn puso en marcha su propia autenticación de dos factores, y ahora estoy cubriendo eso también.
Desafortunadamente, a esta altura la autenticación de dos factores es casi una noticia vieja. Gmail implementó su función de dos factores en Septiembre de 2010. Estábamos escribiendo artículos sobre los dos factores hace casi cuatro años, en Threatpost, cuando los expertos en seguridad anunciaron el concepto de múltiples pasos para iniciar sesiones. Deberías usar los dos factores, cuando lo tengas disponible, para proteger cuentas sensibles, pero esto es visto más ampliamente como un obstáculo más que los hackers deberían superar, en caso de que quisieran robar tu información.
Parece sin embargo que Apple y las decisiones tremendamente tardías de Twitter de implementar sus propias funciones de inicio de sesión de dos pasos pueden haber sido los catalizadores que impulsaron esta segunda ola de dos factores recién llegados. Esto es algo bueno. Hay muy pocas razones por las que no deberían ofrecer la opción de los dos factores o pasos.
El plan de Evernote se destaca porque están anunciando la nueva función a los cuatro vientos, primero para los clientes Premium pagos, y luego para todos los demás. Más allá de eso, los sistemas de dos factores de Evernote y LinkedIn son casi idénticos a los aplicados por tu banco o por Google, hace casi tres años: si la función está habilitada (HABILITADA), los usuarios deben introducir un segundo código de verificación (además de su combo: nombre de usuario + contraseña) cuando inician la sesión. En su mayor parte, estos sistemas se basan en el envío de estos códigos extra a través de SMS o de aplicaciones que generan códigos móviles como el autenticador de Google o el generador de código integrado en la aplicación móvil de Facebook.
Desafortunadamente, los hackers han estado eludiendo PINs de SMS desde hace algún tiempo, sobre todo en los ataques man-in-the-middle dirigidos a los dispositivos móviles.
El método de inicio de sesión de los dos factores es lo mejor que puedes encontrar en la actualidad en muchos de los más populares servicios online, pero hay una carrera muy seria por reemplazar las contraseñas como las conocemos hoy en día, y esto incluye a todos, desde Google hasta el Departamento de Defensa de los Estados Unidos. Es sólo cuestión de tiempo antes de que todos tengamos tatuajes identificadores o estemos tomando píldoras para poder iniciar sesión en nuestras cuentas de mail.
Mientras tanto, deberías pensar en dar un paso al frente e implementar el sistema de autenticación de dos factores para cualquier cuenta online que no quieras ver comprometida. Entre los dos factores y las contraseñas seguras, podrás sentirte bastante seguro de que no serás la gacela más débil de la Sabana, que es una gran defensa ante los cibercriminales, que prefieren atacar siempre a las presas más débiles.
Consejos