La autenticación en 2 pasos o 2FA por sus siglas en inglés ( 2 Factor Authentication) se ha convertido en un standard para mejorar la protección de cuentas y acceso a servicios, el Centro Nacional de Ciberseguridad (NCSC) recomienda 2FA para cuentas de alto valor para grupos de hackers, por ejemplo de administradores de sistemas, personas que laboran en gobiernos, sector financiero y servicios críticos.
Qué es y cómo funciona 2FA
En síntesis la autenticación en dos pasos es,
como su nombre lo sugiere, un paso adicional al password para que un usuario pueda autenticarse, eso elimina los riesgos asociados a un password comprometido. Si un atacante hackea, captura o adivina un password débil, ya no es suficiente para entrar al sistema porque necesitará la aprobación en el segundo factor que usualmente es cambiante o depende de una confirmación manual.
Existen muchos métodos de autenticación distintos, pero en general todos funcionan de forma similar:
-
El usuario introduce su nombre y password
-
El password se valida en un servidor y si es correcto, el usuario se vuelve elegible para el segundo factor
-
Un servicio autenticador genera y envía un código único al usuario usualmente a su correo electrónico o a una aplicación independiente.
-
El usuario confirma su identidad con este código
-
Al introducir exitosamente ambos factores de identificación, el usuario puede acceder al sistema
Software para autenticar
Como se mencionó anteriormente, parte del secreto para que un segundo factor de autenticación sea seguro es que genera un código único y lo envía al usuario a través de un canal totalmente independiente del sistema original, así dificulta a un potencial atacante interceptar esa confirmación.
Para garantizar que el código generado sea válido en el sitio que lo solicita se deben sincronizar con un código, usualmente a través de un código QR, que será la base para crear un cifrado que únicamente tendrá efecto en un servicio específico , por un tiempo limitado.
Entre los programas más populares para generar códigos de autenticación están:
Google Authenticator ( Recomendado )
Es un programa completamente gratuito, funcional y tiene una gran base de usuarios. Soporta múltiples cuentas para autenticar y es de uso fácil e intuitivo.
Está disponible para Android, iOS y hasta como extensión de Chrome.
LastPass
El autenticador de Lastpass es un módulo adicional e independiente del popular administrador de passwords, puedes descargarlo para Android y iOS
1Password
1password es un popular administrador de passwords y tiene incorporado el sistema de autenticación y generación de códigos para 2FA, incluso en su versión de escritorio puede leer códigos QR desde la pantalla. Si ya usas 1Password solo debes activar esta funcionalidad.
Microsoft Authenticator
Finalmente, si prefieres la alternativa de Microsoft, puedes usar Microsoft Authenticator con un buen soporte de cifrado y seguridad, disponible para Android y iOS.
Activar 2FA en Modyo
Modyo tiene soporte nativo para autenticación en dos pasos y activarla solo toma unos minutos.
Para administradores:
Cualquier administrador de un sistema modyo puede forzar a que todo usuario utilice autenticación en dos pasos que se encuentra en la sección de Ajustes > Seguridad
Una vez que se habilite y guarde esta opción todos los usuarios del sistema tendrán acceso únicamente a través de un proceso de autenticación en dos pasos.
Para usuarios
Una vez que un administrador active la autenticación en pasos tienes que
1 - Descargar un autenticador de los mencionados más arriba, si no sabes cual usar, google authenticator es la mejor opción.
2 - Ingresar con tu usuario y password
3 - Escanear el código QR que te va a mostrar el sistema para sincronizar tu autenticador con modyo.
4 - Si es la primera vez que realizas el proceso, debes volver a insertar tu usuario y password para verificar tu identidad.
5 - Cuando el sistema lo solicite, debes insertar el código que genera google para el sitio en el que trabajas. Atención que si tardas mucho, el código se vuelve a generar y debes insertar el código más reciente.
Ahora tu sitio está protegido de ataques de terceros y pérdidas de passwords
Photo by Lianhao Qu on Unsplash.