Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Doble factor de autenticación o verificación en dos pasos




En la actualidad, la mayoría de las personas utilizan servicios que requieren de credenciales de acceso, es decir, un nombre de usuario y contraseña para poder ingresar a sitios o servicios. En esta línea, la clave actúa como una llave digital que le permite a un usuario identificarse en el sistema para poder acceder a su información. De este modo, dicha contraseña protege los datos privados del acceso no autorizado por parte de terceros.



 Sin embargo, el aumento de ataques informáticos sumado a las conductas inseguras de las personas, como el uso de contraseñas débiles e iguales en varios servicios, hacen necesario utilizar métodos de autenticación complementarios más robustos. A raíz de esto, muchas empresas están implementando la doble autenticación.

Esta guía tiene como objetivo, explicar qué es la doble autenticación y el modo de activarla en los servicios más populares como Gmail, Facebook, Twitter, Dropbox, Facebook, PayPal, eBay, Linkedin, Amazon, Tumblr, EverNote, Yahoo, Steam, Apple, Norton, WhatsApp.

Eleven Paths, compañía especializada en ciberseguridad de Telefónica, ya lleva tiempo implementando medidas de seguridad como esta en multitud de aplicaciones con Latch, una aplicación gratuita descargable, que añade un segundo factor de autenticación a todas las cuentas que gestionemos desde nuestro smartphone.

Otro método es utilizar una llave USB, un dispostivo físico, Google lo llama  "llave de seguridad FIDO U2F" y bautizada como "Titan Security Key"

FIDO



FIDO es una organización creada en 2012 por algunas de las grandes tecnológicas (Google, Microsoft, ARM, Samsung…) para hacer frente a la falta de interoperabilidad entre tecnologías de autenticación, solucionando los problemas que enfrentan los usuarios teniendo que crear y recordar múltiples nombres de usuario y contraseñas.

La idea es “cambiar la misma naturaleza de la autenticación” favoreciendo el desarrollo de aplicaciones que definen un conjunto escalable interoperable abierto y mecanismos que eliminen la dependencia de contraseñas para una autenticación más segura de los usuarios al utilizar servicios en línea.


Microsoft ya anunció soporte FIDO en Windows 10 para aumentar la seguridad y posibilidades de autenticación y acceso a Internet y sus servicios en su último sistema operativo. La novedad llega en su última actualización, Windows 10 October 2018, al ofrecer soporte para llaves de hardware FIDO 2.

Los dispositivos FIDO2 se parecen a un pendrive USB (algunos modelos también usan para la conexión la tecnología de campo cercano NFC) y se entregan con una tecnología biométrica incorporada para permitir verificar identidades. Hay empresas especializados que venden dispositivos FIDO 2 incluyen Yubico  y Feitian Technology con precios desde 20 dólares. 

Verificación en dos pasos (Two-factor authentication o 2FA)


Durante los últimos dos años, muchos servicios online han comenzado a ofrecer un doble factor de autenticación. Se trata de una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder al servicio.




Hay tres factores de autenticación:
  • Algo que el usuario sabe: password, pin, passphrase, etc.
  • Algo que el usuario tiene: llave USB, llave, tarjeta, generador de claves, etc.
  • Algo que el usuario es: huella dactilar, iris, secuencia ADN, firma, reconocimiento facial, reconocimiento de voz u otros identificadores biométricos, etc.

Cuidado con la doble autenticación por SMS

Este mecanismo no es infalible.es más bien inseguro.

E sistema más popular para completar ese proceso de verificación de identidad es el envío de un mensaje SMS, pero este sistema no está exento de problemas de seguridad. Los ciberatacantes con técnicas como la llamada 'intercambio de SIM' (SIM swaping).

Los mensajes SMS se pueden interceptar gracias a que entre otras cosas el sistema de conexión SS7 en el que se basan las comunicaciones móviles es vulnerable a ciertos ataques, y gracias a ello es posible capturar esos mensajes.

¿Qué es la doble autenticación o doble factor de autenticación?


Multi-factor authentication (MFA) o 2FA. La doble autenticación se trata de un sistema que complementa la autenticación tradicional en los servicios. En otras palabras, además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor de autenticación, como por ejemplo, un código de seguridad llamado popylarmente Token. Generalmente, este código se genera en un dispositivo del usuario como un teléfono celular. Luego, la persona debe ingresarlo para poder validarse en el sistema. El siguiente esquema muestra el funcionamiento de la doble autenticación:

  • Usuario ingresa credencial de acceso.
  • Sistema valida credencial y envía un segundo factor de autenticación (PIN). 
  • Usuario genera el PIN en su teléfono o token.
  • Usuario ingresa PIN en el sistema y se permite el acceso.



  • Cibercriminal roba contraseña utilizando alguna amenaza informática.
  • Luego, ingresa la credencial robada e intenta acceder al sistema. 
  • Sistema solicita el segundo factor de autenticación. 
  • Atacante no tiene acceso al segundo código. Sistema prohíbe el ingreso.
Los sistemas varían, pero usualmente involucran un mensaje SMS automático (token), o una aplicación que genera códigos de acceso. Luego de ingresar tu contraseña, el sistema solicitará el código de acceso, y en algunos sistemas, se utiliza una aplicación (separada de navegador web) para ingresar el código.

Lo ideal es que no nos pidan el segundo factor de autenticación cada vez que ingresamos, sólo si accedemos desde un dispositivo nuevo (no habitual) o no añadido como de confianza. De esta manera agilizamos el proceso de ingreso y no se hace engorroso para el usuario. Otra opción o medida efizar es utilizar un Gestor de Contraseñas para poder utilizar una contraseña maestra.


Ejemplo con  ID Apple









Qué hay que recordar al usar la autenticación de doble factor

La autenticación de doble factor mejora considerablemente la seguridad Después de activarla, al iniciar sesión en tu cuenta necesitarás la contraseña y tener acceso a tus dispositivos o números de teléfono de confianza. Para mantener la cuenta lo más protegida posible y ayudarte a garantizar que nunca perderás el acceso, hay una serie de sencillas recomendaciones que debes seguir:
  • Recuerda la contraseña
  • Utiliza un código en todos los dispositivos.
  • Mantén actualizados los números de teléfono de confianza.
  • Protege físicamente los dispositivos de confianza.

Facebook




 Para activar la doble autenticación en Facebook se debe seguir este procedimiento:

1) Hacer clic sobre el icono en forma de rueda dentada ubicado en la parte superior derecha del sitio. Posteriormente hacer clic en “Configuración de la cuenta”.
2) Luego, hacer clic sobre la opción Seguridad que aparece en el costado izquierdo de la página.
3) Allí se debe activar la opción Solicitar un código de seguridad para acceder a mi cuenta desde navegadores desconocidos.

En el caso de Facebook, el segundo código de seguridad será solicitado cada vez que el usuario ingrese al servicio utilizando un dispositivo desconocido, es decir, un equipo que no ha sido utilizado anteriormente para acceder a la red social.

Mayo 2018:

Facebook ya permite 2FA sin SMS

Scott Dickens, gerente de producto en Facebook, ha anunciado los cambios realizados en una entrada en el blog corporativo, reconociendo que “las aplicaciones de autenticación de terceros como Google Authenticator y Duo Security” son más fáciles de utilizar. Dichas aplicaciones ofrecen más seguridad que los números de teléfono debido a que los mensajes SMS son más fáciles de secuestrar.




 Twitter


Para activar la doble autenticación en Twitter se debe seguir este procedimiento:
1) Hacer clic sobre el icono en forma de rueda dentada ubicado en la parte superior derecha del sitio. Posteriormente hacer clic en Configuración.
2) En la sección Seguridad y privacidad activar la opción Enviar peticiones de verificación de inicio de sesión a mi teléfono
3) Para poder activar dicha opción el usuario deberá asociar un número de teléfono con la cuenta de Twitter. Esto puede realizarse haciendo clic en el enlace añadir un teléfono.

LinkedIn


Para activar la doble autenticación en LinkedIn se debe seguir este procedimiento:
1) Acceder al menú de configuración haciendo clic en el nombre de usuario que aparece en el costado superior derecho de la página. En el menú, hacer clic sobre “Configuración”.
2) En la sección de configuración se debe acceder a la pestaña “Cuenta” y luego hacer clic en “Gestionar configuración de seguridad”.
3) Luego activar la opción “Verificación en dos etapas para inicio de sesión”:

Gmail


Para activar la doble autenticación en Gmail se debe seguir este procedimiento:
1) Ir al botón en forma de rueda dentada (ubicado en el costado superior derecho) y presionar sobre “Configuración”.
2) Se debe hacer clic en la pestaña “Cuentas” y luego sobre el enlace “Otra configuración de la cuenta de Google”:
3) Allí presionar sobre “Seguridad” y luego hacer clic en el botón “Configuración” o “Editar” que aparece en la sección Verificación en dos pasos que aparece casi al final de la página:


Google



Configurar la verificación en dos pasos

  1. Ve a la página Verificación en dos pasos. Tal vez tengas que iniciar sesión en tu cuenta de Google.
  2. En el cuadro "Verificación en dos pasos" de la derecha, selecciona Iniciar configuración.
  3. Sigue el proceso paso a paso para realizar la configuración.
Cuando hayas terminado, accederás a la página de configuración de la verificación en dos pasos. Revisa la configuración y añade números de teléfono alternativos. La próxima vez que inicies sesión, recibirás un mensaje de texto con un código de verificación. También puedes optar por utilizar una llave de seguridad para la verificación en dos pasos.

DropBox


  1. Inicia sesión en dropbox.com.
  2. Haz clic en tu nombre en la esquina superior derecha de cualquier página para abrir el menú de la cuenta.
  3. Haz clic en Configuración en el menú de tu cuenta y selecciona la pestaña Seguridad , o bien haz clic aquí para acceder directamente.
  4. En la sección Verificación en dos pasos, haz clic en Habilitar.
  5. Haz clic en Primero pasos.
  6. Por razones de seguridad, será necesario volver a introducir tu contraseña para habilitar la verificación en dos pasos. Una vez hecho esto, tendrás la opción de recibir tu código de seguridad por mensaje de texto o utilizar una aplicación móvil.
  7. Una vez habilitada esta función, te recomendamos añadir un número de teléfono alternativo que también pueda recibir mensajes de texto. Si alguna vez pierdes tu teléfono principal, podrás recibir un código de seguridad en tu número de teléfono alternativo.

Apple (iCloud)


Para activar la doble autenticación en Apple se debe seguir este procedimiento:
1) Ingresar al portal Mi ID de Apple. Allí, presionar el botón “Administra tu ID de Apple” que aparece en la parte derecha del sitio.
2) Se deberá iniciar sesión utilizando las credenciales de acceso y presionando sobre el botón “Conectarse”.
3) Una vez que el usuario se ha identificado en el sistema, deberá hacer clic en “Contraseña y seguridad” tal como aparece

Cómo funciona

Con la autenticación de doble factor, cuando introduzcas el ID de Apple y la contraseña correspondiente por primera vez en un dispositivo nuevo, te pediremos que verifiques tu identidad con un código de verificación de seis dígitos. Este código aparece automáticamente en los demás dispositivos o se envía a un número de teléfono de tu confianza. Basta con introducir el código para iniciar sesión y acceder a la cuenta del nuevo dispositivo.

Cuando hayas iniciado sesión, no se te volverá a pedir el código de verificación en el dispositivo en cuestión a menos que cierres la sesión por completo, borres los datos del dispositivo o tengas que cambiar la contraseña por motivos de seguridad. Cuando inicies sesión en la web, podrás optar por confiar en tu navegador para que no se te vuelva a pedir un código de verificación la próxima vez que inicies sesión desde ese ordenador.



















Dispositivos de confianza

Un dispositivo de confianza es un iPhone, un iPad, un iPod touch o un Mac que utiliza iOS 9 o OS X El Capitan y en el que ya has iniciado sesión empleando la autenticación de doble factor. Se trata de un dispositivo que sabemos que es tuyo y que puedes utilizar para verificar tu identidad mostrando un código de verificación de Apple cuando inicias sesión en un dispositivo o un navegador diferente.

Números de teléfono de confianza

Un número de teléfono de confianza es aquel que se puede utilizar para recibir códigos de verificación por medio de un mensaje de texto o una llamada telefónica. Debes verificar un número de teléfono de confianza como mínimo para acceder a la autenticación de doble factor. También debes considerar la opción de verificar otros números de teléfono a los que puedas acceder, como tu teléfono fijo o el número de un familiar o un amigo íntimo. Así podrás utilizar estos números si no puedes acceder temporalmente a tus propios dispositivos.

Recibe un código de verificación e inicia sesión con una autenticación de dos factores


Con la autenticación de dos factores necesitarás un código de verificación para iniciar sesión con tu ID de Apple en un dispositivo o navegador nuevo.




















Siempre que inicies sesión con tu ID de Apple en un nuevo dispositivo o navegador, confirmarás tu identidad con tu contraseña además de un código de verificación de seis dígitos. Hay distintos métodos para obtener un código de verificación. Puedes usar el código mostrado en tu dispositivo de confianza, recibir un mensaje de texto o llamada telefónica o generar un código desde tu dispositivo de confianza.

Amazon


AWS Multi-Factor Authentication (MFA) es una práctica recomendada sencilla que añade una capa adicional de protección además del nombre de usuario y la contraseña. Si habilita MFA, cuando un usuario inicie sesión en un sitio web de AWS se solicitará que indique el nombre de usuario y la contraseña (el primer factor: lo que conocen), así como un código de autenticación del dispositivo AWS MFA (el segundo factor: lo que tienen). Al combinar estos factores, se mejora la seguridad para la configuración de la cuenta de AWS y los recursos.

Puede habilitar MFA para su cuenta de y para usuarios concretos de AWS IAM que haya creado bajo esta cuenta. MFA también se puede utilizar para controlar el acceso a las API de servicio de AWS.
Después de obtener un hardware soportado o un dispositivo MFA virtual, AWS no le cobrará ninguna tarifa adicional por el uso de MFA.


También puede proteger el acceso entre cuentas mediante el uso de MFA.


Microsoft (Hotmail)



Para activar o desactivar la verificación en dos pasos

  1. Ve a la página de configuración de seguridad e inicia sesión con tu cuenta Microsoft.
  2. En Verificación en dos pasos, elige Configurar la verificación en dos pasos para activarla o Desactivar la verificación en dos pasos para desactivarla.
  3. Sigue las instrucciones.
     

Steam

Yahoo


Activación de la verificación en dos pasos

  1. Inicia sesión en la página de información de tu Cuenta de Yahoo ..
  2. Haz clic en Seguridad y, a continuación, selecciona Verificación en dos pasos.
  3. Sigue las instrucciones que aparecen en la pantalla para completar la configuración.
Para verificar tu número de móvil, deberás elegir entre recibir un SMS o una llamada con el código de verificación.

Tumblr


Evernote


  1. Accede a los ajustes de tu cuenta en Evernote Web
  2. Selecciona Resumen de Seguridad en el menú y a continuación haz clic en Activar junto a la 'Verificación en Dos Pasos'
  3. Sigue los pasos para completar el proceso de configuración:
    • Verifica tu dirección de correo electrónico.
    • Establece un número de teléfono secundario (opcional).
    • Configura Google Authenticator (opcional para Plus/Premium/Business). Consulta a continuación ‘¿Cómo puedo utilizar Google Authenticator para generar códigos de verificación? para la configuración.
    • Imprime y/o guarda tus códigos de copia de seguridad en un lugar seguro. (Nota: En este paso, tendrás que copiar uno de los códigos de la copia de seguridad y pegarlo en la ventana siguiente. El código seguirá siendo válido después de la configuración).

 Norton



Authy, tu gran aliado en la verificación en dos pasos Google Authenticator, aunque es la aplicación oficial de Google para hacer uso de la verificación en dos pasos, cuenta con una serie de carencias e inconvenientes que pueden hacer que la 2fa sea aún más molesta para los usuarios, especialmente para los que dependen de dos o más dispositivos o formatean sus smartphones o cambian a menudo.



Authy es un cliente para la verificación en dos pasos totalmente gratuito que, aunque está mantenido por una empresa de terceros, ha demostrado con el paso del tiempo ser uno de los mejores clientes para la doble autenticación aportando todas las características que deberían estar y no lo están en el cliente de Google.


Fuentes:
http://www.welivesecurity.com/la-es/2014/02/19/doble-factor-autenticacion-que-es-porque-lo-necesito/
Guía de Doble Autenticación de ESET Latinoamérica
http://www.redeszone.net/2015/12/28/el-rechazo-de-la-gente-hacia-la-verificacion-en-dos-pasos/ 

1 comentarios :

elcapo dijo...

como puedo inscribirme en esta pagina

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.