Contraseñas

Autenticación en dos factores vs autenticación en dos pasos

Llevamos recomendando tomar medidas de seguridad para nuestras cuentas desde tiempos inmemoriales. Nuestros activos digitales así lo requieren. Veamos las diferencias entre las dos principales forma de hacerlo, comparando la autenticación en dos factores vs autenticación en dos pasos. O lo que es lo mismo, 2FA frente a 2SV.

Mucha gente piensa que ambas cosas significan lo mismo, pero se equivocan, cada medida de seguridad en cuentas, aunque se basan en el mismo principio (añadir un segundo factor de seguridad) tienen sus pros y contras.

¿Qué es un factor de autenticación?

Antes de meternos de lleno en el asunto 2FA vs 2SV, es importante aclarar conceptos y ver qué sucede cuando iniciamos sesión en nuestras cuentas.

Cada proceso de inicio de sesión depende de la introducción de un factor de autenticación, que podríamos describir como categoría independiente de credencial utilizada para verificar nuestra identidad.

Tipos de factores de autenticación:

  1. Factores de conocimiento: algo que sabes
  2. Factores de posesión: algo que tienes
  3. Factores inherentes: algo que eres

¿Son seguras las contraseñas?

No mucho. La mayoría de cuentas a día de hoy están configuradas para soportar lo que se conoce como SFA (Single Factor Authetication) o Factor de autenticación Simple. Este es un tipo tradicional y poco seguro de inicio de sesión, porque no suele pedirse al usuario que envíe algo que “sabe” en el formulario de introducción de datos.

A día de hoy ya sabemos casi todos lo inapropiadas que las contraseás resultan por sí mismas para proteger nuestras cuentas. Y el problema empieza, como casi siempre, por parte del usuario: este debe acepta crear una contraseña larga, compleja y única para cuentas importantes. Por otro lado, llega el problema del almacenamiento de las credenciales: ¿puede memorizarlas o debe almacenarlas en algún lugar seguro?

Si tienes un gestor de contraseñas, el nivel de seguridad del total de tus credenciales guardadas equivaldrá, únicamente, a la seguridad de tu contraseña maestra. Tómalo muy en serio!

Además, si un sitio web resulta hackeado, el usuario deberá actuar rápidamente y sustituir las credenciales filtradas rápidamente, algo que muchas veces no ocurre, ya que ni siquiera conocen los hecho. También está el hecho de que a los humanos no se les suele dar bien eso de imaginar contraseñas y, aunque hay programas como DashLane o LastPass que nos permiten generar credenciales seguras, mucha gente no las utiliza o no está dispuesta a pagar por estos servicios (recordemos que hay alternativas gratuitas).

Estos motivos empujan a muchos usuarios, sobre todo los menos tech-friendly, a descuidar gravemente su política de seguridad en contraseñas, algo que no pasa desapercibido a los sitios web, que ya comenzaron hace algún tiempo a tomar medidas: implantación de biométrica, inclusión de autenticación en dos factores, autenticación en dos pasos…e incluso algunos portales combinan estas dos últimas opciones.

Autenticación en dos factores vs autenticación en dos pasos

2SV o autenticación en dos pasos (algo que sabes y algo que tienes)

La verificación autenticación en dos pasos es la forma más sencilla con la que los sitios web responden a los peligros del anticuado SFA (un sólo factor). Casi todos habremos utilizado o al menos conoceremos este método, pues lo podemos encontrar en tiendas online como Amazon, servicios de email como Google o herramientas como Skype. Funciona de la siguiente manera:

  1. Iniciamos sesión en nuestra cuenta, por ejemplo, de Gmail, con nombre de usuario y contraseña.
  2. Se nos envía un código de un sólo uso (OTP o One Time Password) mediante email, SMS o llamda telefónica, dependiendo de las opciones de cada servicio. Lo recibiremos en nuestro ordenador o móvil, según hayamos escogido.
  3. introduciremos el código (dentro de un período de tiempo máximo) para completa el acceso a la cuenta

2SV o autenticación en dos pasos

Si no completamos los pasos en tiempo y forma, no podremos acceder a la cuenta.

¿Es esto un método de autenticación en dos factores? Podríamos pensar que sí a priori, pero resulta que no. Aunque no sepamos el código que se nos va a enviar antes de que suceda, no estamos hablando de un método esencialmente diferente al de una contraseña (es un código). Por tanto, podemos considerar este código y la contraseña del mismo modo: algo que sabes.

Por eso, la verificación en dos pasos simplemente amplía el SFA original, solicitando que el usuario envíe ciertas evidencias diferentes, pero que caen en el mismo saco de factores mencionado anteriormente.

El malware moderno, cada vez más, está logrando interceptar los códigos de verificación en dos pasos (tokens) que son transmitidos al usuario. El caso más reciente lo tenemos en un troyano de Android denominado Android/Spy.Agent.SI y que ha afectado a bancos a nivel global.

Lo que hace este troyano es capturar los inicios de sesión de usuarios mediante engaños de ingeniería social, presentándoles falsas pantallas de inicio de sesión.

2FA o Autenticación en dos factores

Por su parte, en lugar de construirse sobre la base de Single factor authentication, 2FA requiere al usuario la introducción de dos factores de verificación de diferente naturaleza. Cada uno pertenece a una categoría diferente de mecanismo.

Autenticación en dos factores

Por ejemplo, podríamos estar hablando de una simple contraseña (algo que sabes) seguida de una presión con nuestro dedo sobre un escaner de huella o iris (biométrica, que hace el papel de representar “algo que eres”). Otro ejemplo podría ser el acceso a instalaciones mediante el deslizamiento de una tarjeta (algo que tienes) seguida de una verificación del iris ocular (algo que eres).

Las smart cards de toda la vida y las posteriores Yubikeys son ejemplos perfectos de por donde va evolucionando la industria en este sentido. En el siguiente gráfico, podemos ver como Paul Moore detalla de forma excelente las diferencias entre 2FA y 2SV:

Tipos de autenticación. 2FA vs 2SV

¿Qué servicios web me ofrecen 2FA o 2SV?

Tened en cuenta que deberéis haber activado la autenticación en dos pasos o en dos factores anteriormente, pues no se activa por defecto. Para conocer qué servicios  ofrecen estas posibilidades, os recomiendo visitar la web 2FactorAuth, donde veréis como con el tiempo son cada vez más empresas las que se están sumando a esta iniciativa.

Conclusiones

Podemos terminar asegurando, sin lugar a dudas, que la autenticación en dos factores será más segura que la autenticación en dos pasos. Claro está, eso será cuando se popularice en mayor medida (aún falta que se estandaricen los mecanismos necesarios al 100%). En cualquier caso, os conviene recordar algo: ¡2FA o 2SV es siempre mejor que SFA!

Ahora que ya conoces a la perfección estos mecanismos, ¿por qué no los pones en práctica?

3 comentarios en “Autenticación en dos factores vs autenticación en dos pasos

  1. El “2FA” en los servicios más populares básicamente se limita a uso de SMS, es decir en realidad es un 2SV via teléfono celular… Que tan seguro es esto? Sobretodo cuando las operadoras son tan inseguras que fácilmente pueden ser interceptadas o ser victimas fáciles de ing. social? Cuando es más facil que te roben el celular a que te hackeen una contraseña segura? El pseudo-2FA bajo estas condiciones no sirve y es de hecho más inseguro que solo emplear SFA de toda la vida, siempre y cuando lo emplees con responsabilidad: contraseñas seguras, memorizables, diferentes y bien gestionadas. Requiere esfuerzo mental, pero para eso tenemos cerebro…

    Me gusta

    1. Hola Juan. Desde mi punto de vista los códigos de verificación vía SMS pertenecen a la categoría 2SV, pues no dejan de cumplir el mismo principio (algo que sabes). Como bien dices, no son del todo seguros, solo en la medida en que nuestro teléfono y su tráfico de red lo sean. Aún así, mucho más seguro que SFV por sí mismo. Evidentemente, el usuario debe poner su mayor esfuerzo en diseñar credenciales realmente robustas, este debería ser el primer paso siempre. Gracias por comentar 😉

      Me gusta

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s