Securitywatch: com no bloquejar-se amb autenticació de dos factors | eddy màx

Les eines de seguretat sovint creen una certa ansietat. Què passa si perdo la meva contrasenya? O si el meu antivirus elimina les meves coses? L'arribada de l'autenticació de dos factors ha creat un nou gir sobre una ansietat familiar: què passa si no puc fer servir el meu segon factor i quedar-me tancat del compte?

Jeremy, de Capetown, va escriure amb algunes preocupacions sobre 2FA. He editat la seva carta per a la seva brevetat.

Estimat senyor, No sóc massa tècnic i vull un dispositiu d’autenticació de dos factors que no tingui complicades complicacions a l’hora d’instal·lar o accedir com el que vau trobar amb el Yubikey. La meva por més gran és deixar-me fora de Gmail.

És millor comprar dues claus, amb una com a clau de còpia de seguretat?

Atentament, Jeremy

En cas que no hagueu sentit a parlar de l'autenticació de dos factors, o 2FA, aquí teniu el detall: 2FA és una segona acció que feu després d'introduir la vostra contrasenya per verificar la vostra identitat. La idea és que un atacant pugui tenir la vostra contrasenya, però no tindran la vostra clau de seguretat, l’aplicació d’autenticador ni el codi SMS. Hi ha tota una teoria i pràctica a 2FA que no entraré aquí, però us animo a activar i a habilitar 2FA on podeu.

Jeremy té una bona companyia en la seva preocupació per la 2FA. Moltes persones técnicament experimentades i conscients de la seguretat que conec segueixen evitant la protecció de dos factors perquè tenen por de bloquejar-se i potser perden accés a les seves coses per sempre. És una preocupació real i vàlida.

Lector, em va passar

De fet, abans he estat bloquejat dels comptes protegits de 2FA. Més d'una vegada. En aquell moment, una de les primeres empreses que va oferir autenticació de dos factors va ser Blizzard. Els jugadors de World of Warcraft van accedir primer, ja que necessitaven protegir el seu saqueig dur. És possible que recordeu persones que es desplacen amb els clauers WoW que mostraven canviar de dígit en una pantalla LCD. Blizzard després va perfeccionar l'experiència en una aplicació per a mòbils i va llançar el 2FA a tots els usuaris de Battle.net.

Al ser la persona paranoica que sóc, he activat 2FA al meu compte Blizzard mitjançant l'aplicació especial Blizzard Authenticator. Vaig oblidar-me immediatament d’haver-ho fet, i als mesos intervinguts, vaig eliminar l’aplicació del telèfon i vaig oblidar la meva contrasenya. Afortunadament, Blizzard compta amb un excel·lent servei al client. Alguns missatges de correu electrònic amb el seu personal alegre em van tornar a estar en línia en pocs dies. Tot i així, continuava fent nervis. Estava tan acostumat a poder gestionar els meus propis restabliments de contrasenya i la idea d’haver de relacionar-me amb un humà viu real com a part d’aquest procés se sentia bé, molt estranya.

Des de llavors m’he acostumat més a l’experiència i he après a ser més intel·ligent a l’hora de mantenir segur el meu autenticador. Encara he aconseguit bloquejar-me de Battle.net repetidament, així com Steam i altres serveis.

Segons la forma en què una empresa configura la seva oferta de 2FA, és possible que tingueu que inclinar-vos cap enrere per recuperar el control del vostre compte. Per molt molest que sembli, en realitat significa que el servei funciona. Si no disposeu de l’autenticador , heu d’ haver de saltar un munt de cèrcols. Si us resultés fàcil, us resultaria fàcil per a un dolent.

Multiplica els teus factors

Afortunadament, hi ha una manera senzilla d’evitar la bloqueig de 2FA: utilitzeu múltiples opcions 2FA. Aquests poden actuar com a còpia de seguretat en cas que no tingueu accés a una altra opció 2FA. Per exemple, faig servir un YubiKey 5 NFC amb els meus comptes de Google, però també he activat el toc en una notificació push de verificació del telèfon. Si no tinc el meu Yubikey, el faig servir.

Si hi afegiu més dispositius multifactor, augmenteu el risc de que el vostre compte es pugui veure compromès. Ara hi ha dues maneres d’entrar al vostre compte, en lloc d’un sol. Crec que els beneficis de no estar bloquejat del vostre compte superen molt l'escenari molt poc probable en què us heu posat en compte i que el perp agafeu la cartera, les claus i la clau de seguretat i, a més, us haureu d'escriure la contrasenya.

Paquet de claus de seguretat de Google Titan.

El millor suport d’utilitzar més d’un dispositiu 2FA prové de Google, que proporciona dues claus en el seu paquet de claus Titan. Aquests van ser creats específicament per treballar amb el sistema de protecció avançada de Google, que requereix que inscriviu dues claus de seguretat separades. N’utilitzes un cada dia i apartes l’altre per a emergències. Per tant, per respondre directament a la pregunta de Jeremy: no és mala idea tenir dues claus per al vostre compte.

Malauradament, no tots els llocs permeten inscriure més d’una opció multifactor. Si és així, us recomano que utilitzeu l’opció 2FA que considereu més fiable per a vosaltres.

Construint el teu autèntic Arsenal

Si opteu per comprar diverses claus 2FA de maquinari, us recomano o bé la nostra clau de seguretat d’elecció de Yubico per part dels editors o el paquet Titan Key de Google. La clau de seguretat de Yubico costa només 20 dòlars cadascun, o 36 dòlars per a dos. El paquet de Google té un cost de 50 dòlars i inclou dos dispositius: una clau USB i un Bluetooth Bluetooth que funciona amb bateries.

La clau de seguretat de Yubico

Durant anys, la forma més habitual d’utilitzar 2FA era enviar codis d’una sola vegada al vostre telèfon mitjançant un missatge de text. Probablement haureu d’utilitzar-ho amb el vostre banc, ja que les institucions financeres solen adoptar les noves tecnologies més lentament. Google, interessant, encara requereix que activeu els codis SMS si voleu utilitzar qualsevol altre sistema 2FA. A la pregunta de Jeremy, això vol dir que quan aneu a inscriure la vostra nova clau de seguretat amb Google, ja haureu d’habilitar una segona opció 2FA en forma de codis SMS.

Una altra opció és utilitzar Google Authenticator, o una aplicació similar com l’autentificador LastPass. Aquestes aplicacions per a mòbils generen codis de passatge de sis dígits cada 30 segons. Només cal obrir l’aplicació, copiar el codi i entrar. Aquests són especialment útils com a opció de backup 2FA, ja que l’aplicació funciona fins i tot sense servei cel·lular ni wifi.

Si tots els semblen preocupants, podeu utilitzar el meu mètode preferit: codis de còpia de seguretat física. És possible que ho hagueu vist en crear comptes o en registrar-vos a 2FA. Es tracta d’una graella de diversos números que podeu utilitzar en lloc d’una contrasenya i de fitxes 2FA. Es generen una sola vegada i, si es generen de nou, s’eliminen les antigues. L'ideal és que les assegueu en una volta d'arxiu encriptat, o millor encara en un tros de paper incrustat en un lloc segur.

Quan va crear el seu programa de protecció avançada, Google va optar per diverses claus de maquinari perquè totes les altres opcions que vaig enumerar anteriorment (inclosos els codis de seguretat) podrien ser capturades amb una pàgina de phishing ben feta. És molt més difícil fer malbé una clau de seguretat.

• Autenticació de dos factors: qui la té i com configurar-la Autenticació de dos factors: qui la té i com configurar-la
• Per què no feu servir l’autenticació de dos factors? Per què no feu servir l’autenticació de dos factors?
• Google: els atacs de phishing que poden combatre els dos factors estan a l'alça Google: els atacs de phishing que poden combatre els dos factors estan en augment

Tingueu en compte que no tots els llocs admeten tot tipus d’autenticador. LastPass, per exemple, us permet utilitzar claus de seguretat, però només les claus que admeten codi de contrasenyes únic. Esbrinar quins autenticadors han de fer servir sovint és funció de quines opcions són compatibles.

Els primers passos per a l'autenticació de dos factors

Dit això, recomano que qualsevol usuari nou de 2FA provi-ho amb un sistema diferent de les claus de seguretat. Si no esteu habituats a tenir aquesta segona cosa per iniciar la sessió, és més probable que us confongueu amb una cosa tan poc coneguda com una clau de seguretat. En el seu lloc, prova d'utilitzar notificacions push, codis enviats per missatges de text, Duo o Google Authenticator (o generador de codi similar). Aquests utilitzen els dispositius que ja teniu, de manera que no té cap cost d’entrada. Un cop coneixeu el funcionament del 2FA i comenceu a sentir-vos com una segona naturalesa, podeu pensar en transferir els diners per a una clau de seguretat.

Una funció de seguretat només és valuosa si realment la feu servir. Per tant, activeu 2FA, però doneu-vos permís per jugar amb ell i cerqueu un mètode que us serveixi.