Cómo usar FIDO U2F para un inicio de sesión seguro

Utilizar cuentas online o dispositivos remotos significa que estamos introduciendo nuestros datos constantemente y estos atraviesan cables y servidores para llegar a su destino y ser procesados. Hoy explicaré por qué es conveniente y cómo usar una llave FIDO U2F para un inicio de sesión seguro en nuestras cuentas online.

Aprende más – En esta guía se trata el uso de una llave de seguridad para Gmail. No olvides que también puedes proteger tu cuenta con otros métodos de verificación en dos pasos o factores.

Sintetizando un poco, la gran ventaja del segundo factor universal reside en que la llave FIDO no puede ser comprometida de ninguna manera, por lo que supone un segundo factor de autenticación a prueba de ataques actualmente.

¿En qué consiste una llave FIDO?

Una llave FIDO nos sirve para acompañar a nuestra contraseña de cuenta con un segundo factor de autentificación, siendo una llave de este tipo más segura que un SMS o incluso un código de autenticador móvil, por el sencillo hecho de no estar conectado ni ser alterable.

Por ejemplo, otros sistemas podrían ponerse en riesgo mediante una web que imite un servicio y nos solicite el código de verificación SMS, así como una vulnerabilidad que intercepte dicho código si nuestro conocimiento.

La llave FIDO U2F -sea cual sea la que compremos, pues hay diferentes marcas- lleva grabada una clave privada que no es modificable y será cotejada con la clave pública en nuestros servicios online, cada vez que iniciemos sesión en nuestra cuenta de Google, DropBox, etc.

No existen límites, podemos utilizar la llave en tantas cuentas tengamos siempre y cuando el servicio soporte el estándar FIDO U2F. Además, otra ventaja evidente de estos dispositivos es su reducido tamaño. La que yo mismo he recibido hoy y he utilizado para realizar el artículo tiene unas dimensiones de aproximadamente 4 x 2 x0,7 centímetros. Es ideal para acompañar a nuestro llavero.

Cómo usar FIDO U2F para inicio de sesión seguro

Veremos rápidamente cómo añadir una llave de seguridad de la Alianza FIDO (Fast Identity Online) en nuestra cuenta de Google, algo que es similar en el resto de servicios:

Como añadir llave de seguridad U2F en Google

• En primer lugar abriremos los ajustes de cuenta de Google:

• En el apartado izquierdo abriremos la opción Inicio de sesión en Google > Verificación en dos pasos

• Ahora accederemos al último apartado: añadir llave de seguridad

Para continuar, asegúrate de que no está insertada la llave FIDO en el equipo, esto lo harás cuando te lo pida el asistente.

Haz clic en Registrar. Ahora se te pedirá que insertes tu llave en el equipo. Sólo  falta un paso para asociar la llave U2F al equipo, dependiendo del tipo de llave que compraste:

1. Llave con botón: pulsa el botón para finalizar cuando veas una luz parpadeante
2. Llave sin botón: llave que se desactiva después de cada uso, tendrás que retirarla e insertarla de nuevo en el equipo.

Haz clic en listo y habrás terminado.

Retirar la llave FIDO U2F  de tu cuenta de Google

Retirar este mecanismo de seguridad es muy sencillo y se hace desde la misma parte del menú. Simplemente abre el menú Verificación en dos pasos y verás la información de uso de la misma y un icono para editarla (lápiz).

Si pulsas ahí, podrás indicar que quieres «retirar esta llave» para desvincularla totalmente y pasar a otro sistema.

Inicio de sesión con FIDO Universal 2 Factor Authentication

1. Introduciremos nuestro nombre de usuario y contraseña en la aplicación web
2. Conectaremos nuestra llave de seguridad FIDO U2F a un puerto USB
3. Tocaremos el botón cuando corresponda para completar el inicio de sesión

¿Qué ocurre si no dispongo de mi llave FIDO? ¿Puedo iniciar sesión?

Sin ningún problema, si no dispones del aparato podrás seguir utilizando el método de verificación móvil o Google Authenticator, basta con que indiques a Google que quieres usar otra forma de inicio de sesión tras introducir tu usuario y contraseña.

¿Dónde descargo el Addon U2F para Firefox?

Si tienes un navegador Mozilla, estás de suerte porque también podrás utilizar tu llave FIDO. Sólo tienes que hacer clic en el siguiente enlace para agregar el complemento a tu navegador. Ten en cuenta que por ahora el complemento solamente soporta llaves de la firma Yubico.

Características y requisitos

• Funciona sin problema en Microsoft Windows, Apple Mac OS X, y Linux
• Actualmente soportado por Google, Github o DropBox
• Un toque de botón lleva a cabo la autenticación mediante clave público-privada. Reemplaza los SMS, Autenticadores OTP y otros medios como segundo factor de autenticación
• Se identifica como un dispositivo de entrada estandar (USB HID) compatible con cualquier sistema
• Necesitaremos un navegador como Google Chrome versión 41 o posterior.

Limitaciones

1. Sólo es compatible oficialmente con Google Chrome. En Mozilla Firefox sólo es compatible mediante un plugin, aunque están trabajando para implementar el Universal 2 Factor en Firefox de forma nativa. La buena noticia es que vale con otros navegadores basados en Chromium. Hasta ahora lo he probado en Epic Browser y ha funciona perfectamente.
2. No es válido para uso como Token de inicio de sesión en Windows o cualquier otro sistema operativo. Actualmente, Microsoft se encuentra en vías de garantizar su funcionamiento con Windows 10, pero no hay fecha estimada.

Conclusiones

En mi humilde opinión, toda precaución es poca cuando se trata de proteger nuestro inicio de sesión en las cuentas que manejamos en internet. Por eso, os recomiendo que gastéis (mejor hablemos de invertir en este caso) en un aparatito FIDO como este -cuesta menos de 8 € en Amazon- y me comentéis vuestra experiencia si es que ya utilizáis alguno.