Inicio » Protéjase: cómo elegir la aplicación de autenticación de dos factores o 2FA correcta
EDUCACION

Protéjase: cómo elegir la aplicación de autenticación de dos factores o 2FA correcta

2FA-Autenticacion

Agregar la autenticación multifactor (a menudo llamada autenticación de dos factores o 2FA) a las cuentas en línea de alto valor es probablemente la precaución de seguridad más importante que puede tomar. La configuración lleva solo unos minutos, y el resultado es una capa de protección que evitará que intrusos intercepten su correo electrónico, roben fondos de su cuenta bancaria o secuestren sus redes sociales.

En esta publicación, describimos la forma más básica de 2FA, que utiliza una aplicación de autenticación instalada en un teléfono móvil para proporcionar una forma secundaria de prueba de identidad cuando sea necesario. En ese caso, los dos factores son el clásico “algo que sabes” (tus credenciales de inicio de sesión) y “algo que tienes” (el dispositivo móvil que has configurado con un secreto compartido). La combinación de esos dos factores establece la barra de prueba de identidad lo suficientemente alta como para que su ladrón promedio no pueda superarla.

Cuando usa sus credenciales para iniciar sesión en un dispositivo no confiable, el servicio exige que ingrese un código de Algoritmo de contraseña único (TOTP) basado en el tiempo generado por esa aplicación o que responda a una notificación en el dispositivo. Después de superar ese desafío, normalmente puede designar un dispositivo personal como confiable y omitir los códigos para futuros inicios de sesión.

La mayoría de las personas elige una sola aplicación 2FA y la usa para cada servicio. Mi configuración es un poco diferente, porque tengo dos teléfonos que uso indistintamente y una cantidad mayor que el promedio de cuentas en línea en las que 2FA está habilitado. Me decidí por una configuración de seguridad que utiliza tres aplicaciones de autenticación independientes, cada una con su propio rol de seguridad específico.

Esa configuración puede parecer confusa en teoría, pero resuelve varios problemas de manera elegante, y no es en absoluto molesta en la práctica. El mismo régimen podría funcionar para usted.

Aquí está el tl & dr: si está protegiendo cuentas de Google, use la aplicación Google Authenticator. Para cuentas de Microsoft, use la aplicación Microsoft Authenticator. Para todas las demás cuentas, use cualquiera de esas aplicaciones o elija una alternativa de terceros como Authy, que le permite hacer copias de seguridad y restaurar sus configuraciones de seguridad para que pueda permanecer seguro cuando cambie de teléfono.

Permítanme presentarles estas tres aplicaciones, con detalles sobre las fortalezas únicas de cada una. Los tres son completamente gratuitos y están disponibles para plataformas iOS y Android.

Autenticación de dos Factores 2FA de Google

Si va a casi cualquier servicio en línea que admita los códigos TOTP de seis dígitos que están en el corazón de 2FA, esta es la aplicación que se le indica que descargue. El pequeño secreto sucio es que no hay nada especial en la forma en que la aplicación Authenticator de la marca Google genera esos códigos. Para aplicaciones y servicios de terceros, puede usar cualquiera de los tres autenticadores 2FA que describo aquí.

Donde brilla la aplicación de Google es, naturalmente, al proteger los inicios de sesión en sus cuentas de Google. Eso incluye tanto las cuentas personales (Gmail, YouTube y otros servicios al consumidor) como las aplicaciones de G Suite administradas por una organización.

Para configurar 2FA en una cuenta personal de Google, vaya a https://myaccount.google.com/security y haga clic en Verificación en dos pasos, como se muestra aquí.

google-2fa-setup.jpg

La opción predeterminada, un mensaje de Google al que responde en su dispositivo móvil, no requiere la aplicación Authenticator. Si ha iniciado sesión con la cuenta correspondiente en un dispositivo Android o en la aplicación de Gmail en un iPhone, puede responder a la solicitud, como se muestra a la izquierda a continuación, e iniciar sesión.

Para configurar la aplicación Authenticator por primera vez, use su opción bajo el encabezado Configurar segundo paso alternativo. Abra la aplicación, haga clic en el botón + para agregar su cuenta y escanee el código de barras QR. Ingrese el código de seis dígitos basado en el tiempo para confirmar que está configurado correctamente y listo.

Si no puede recibir el mensaje, por alguna razón, o si prefiere otro método de autenticación, haga clic en el enlace Probar otra forma de iniciar sesión, que le permite elegir una de las opciones que configuró anteriormente, como se muestra a la derecha abajo.

google-2fa-sign-in.jpg

La interfaz para configurar y responder a las opciones de autenticación es la misma para las cuentas de G Suite, aunque un administrador tiene que habilitar la función desde la consola de administración de G Suite , donde también pueden limitar los tipos de autenticación que permiten y aumentan la seguridad al desactivar el capacidad de confiar en un dispositivo o recibir códigos por SMS o una llamada telefónica.

Para configurar cuentas 2FA de terceros en la aplicación Google, haga clic en el botón + y escanee el código de barras o ingrese manualmente la información de configuración. Puede usar códigos generados aquí para cualquier prueba 2FA basada en TOTP.

Aunque puede instalar la aplicación Google Authenticator en varios teléfonos, solo puede usar un dispositivo a la vez y no puede compartir cuentas entre dispositivos. Puede mover sus cuentas existentes a un nuevo teléfono, pero no hay una forma compatible de realizar copias de seguridad y restaurar configuraciones.

Autenticador de Microsoft

A primera vista, el Autenticador de Microsoft se parece bastante al equivalente de Google. Genera los mismos códigos TOTP de seis dígitos para cuentas 2FA de terceros, pero hace su mejor trabajo en cuentas de Microsoft de consumo y cuentas de Azure AD administradas por la empresa.

Después de instalar la aplicación Authenticator, puede configurar los ajustes de 2FA para una cuenta gratuita de Microsoft en https://account.live.com/proofs . No necesitas un código QR; inicie sesión con su nombre de usuario y contraseña en la aplicación y luego responda a una de las pruebas que ya ha configurado. Una vez completada la configuración, verá una notificación push cuando inicie sesión en un nuevo dispositivo.

Tenga en cuenta que puede configurar y usar la aplicación Microsoft Authenticator en varios dispositivos simultáneamente. Los códigos de autenticación de ocho dígitos son los mismos en todos los dispositivos, y puede responder a las indicaciones en cualquier dispositivo que esté configurado correctamente.

Para las cuentas de Azure Active Directory, la configuración es un poco diferente. Un administrador debe habilitar la autenticación multifactor desde la consola de administración de Office 365 o Azure AD; después de eso, los usuarios administran la verificación de seguridad yendo a https://account.activedirectory.windowsazure.com/Proofup.aspx . Allí, puede configurar múltiples opciones de verificación de seguridad y asignar una opción preferida, como se muestra aquí.

microsoft-2fa-setup.jpg

Para obtener la máxima seguridad, desactive la opción de autenticar utilizando códigos enviados por SMS y permita solo llamadas a su número de oficina o un mensaje o código desde la aplicación Autenticador. Puede elegir cualquiera de esas opciones al momento de iniciar sesión.

microsoft-2fa-sign-in.jpg

Para las cuentas de Azure AD, puede configurar la aplicación Authenticator en varios dispositivos y funcionará correctamente. También puede usar esta aplicación para configurar cuentas 2FA de terceros (Facebook, Twitter, QuickBooks, etc.) en esta aplicación y usar sus códigos para iniciar sesión.

La versión iOS de Microsoft Authenticator le permite hacer una copia de seguridad de la configuración en iCloud, lo que le permite copiar la configuración de un iPhone a otro con relativa facilidad. Una opción similar es, por desgracia, no está disponible para dispositivos Android.

AUTHY

Aunque puede configurar cuentas 2FA de terceros en la aplicación Google o Microsoft Authenticator, no puede sincronizar esas cuentas entre dispositivos entre los dos dispositivos, ni puede hacer fácilmente copias de seguridad y restaurar configuraciones entre dispositivos. Y, en última instancia, es por eso que no estoy dispuesto a usar ninguna de esas aplicaciones para cuentas de terceros.

En cambio, uso y recomiendo la aplicación gratuita Authy. Puede agregarle cualquier cuenta 2FA, escanear el código QR para configurar el secreto compartido y estar listo en minutos. Lo mejor de todo es que puede hacer una copia de seguridad y restaurar esas configuraciones y configurar un dispositivo secundario con la misma información de cuenta. Para alguien que cambia regularmente entre dispositivos móviles, esta es una característica excelente.

Cuando haya configurado Authy en dos o más dispositivos, la configuración de una cuenta en cualquier dispositivo transfiere automáticamente esa configuración al nuevo dispositivo, por lo que no tiene que configurar manualmente la autenticación en varios lugares o preocuparse de que pierda el acceso a cuentas importantes si pierde su dispositivo principal o si está dañado.

La contraseña de respaldo, que gestiona la sincronización entre dispositivos, no se almacena en los servidores que sincronizan la configuración de Authy entre dispositivos. Solo se usa localmente, lo que significa que incluso si los servidores de Authy están comprometidos, un intruso no puede recuperar su información 2FA sin la clave de cifrado de respaldo, y si pierde esa clave de cifrado, no tendrá forma de recuperar sus códigos 2FA si su único dispositivo se pierde, se lo roban o se daña.

Por supuesto, no tiene que hacer una copia de seguridad de su configuración en la nube. Puede mantener esa configuración completamente local, pero si lo hace, pierde la capacidad de sincronizar y hacer copias de seguridad de tokens de seguridad. (Y si desea saber cómo Authy maneja esas copias de seguridad, lea el explicador aquí ).

En resumen, utilizo el Autenticador de Google para mis cuentas de Google y el Autenticador de Microsoft para las cuentas de Microsoft. En ambos casos, rara vez tengo que abrir la aplicación manualmente, porque simplemente puedo responder a las indicaciones según sea necesario. Para todo lo demás, Authy es mi aplicación favorita.

Si tiene una alternativa preferida, cuéntenos en los comentarios a continuación.