Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/02/2014
Doble factor d'autenticació: Què és i per què ho necessite?
Durant els últims dos anys, molts servicis en línia han començat a oferir un doble factor d’autenticació. Es tracta d’una mesura de seguretat extra que sovint requerix un codi obtingut a partir d’una aplicació, o un missatge SMS, a més d’una contrasenya per a accedir al servici.
Per als usuaris de PC, que ja estan cansats d’haver de memoritzar una dotzena de contrasenyes, esta pareix l’última cosa que necessiten, però el doble factor d’autenticació pot ser la diferència entre ser víctima d’un cibercriminal i mantindre’s protegit.
Twitter, Google, LinkedIn i Dropbox, entre altres servicis, ja oferixen esta característica com un servici opcional de seguretat per als comptes. Tant Twitter com LinkedIn van agregar el sistema després d’atacs que van aconseguir caràcter públic, i altres llocs com Evernote també ho han implementat en l’últim any.
Els sistemes varien, però usualment involucren un missatge SMS automàtic, o una aplicació que genera codis d’accés. Després d’ingressar la contrasenya, el sistema sol·licitarà el codi d’accés, i en alguns sistemes s’utilitza una aplicació (separada del navegador web) per a ingressar el codi.
Els sistemes de doble factor d’autenticació són molt més segurs que les contrasenyes. Molts atacs que van aconseguir notorietat pública, com els perpetrats contra comptes d’empreses de mitjans en Twitter l’any passat, no hagueren ocorregut si hi haguera hagut un sistema de doble factor implementat. Inclús si un atacant aconseguix infectar un equip i roba una contrasenya, l’accés no podrà ser aconseguit ja que no tenen el codi d’accés.
Però és important recordar que no hi ha solucions màgiques: els sistemes de doble factor són millors que les contrasenyes soles, i més simples que les mesures biomètriques (com poden ser les empremtes digitals o el reconeixement facial), però els atacants eventualment poden trobar el mode de vulnerar-los. El que el sistema garantix és que els atacants hauran de treballar més dur. Per exemple en un atac recent contra World of Warcraft, els cibercriminals van crear una replica del lloc web en què es descarregava el programari maliciós. Açò demostra que el treball requerit per a un atacant és molt major, i això és una bona notícia.
David Harley, ESET Senior Research Fellow, diu: “La cosa més trista és que les contrasenyes estàtiques són superficialment barates però conceptualment una solució insatisfactòria per a un problema molt complicat, especialment si no estan protegides per tècniques complementàries. Les contrasenyes d’ús únic i els testimonis (tokens) són molt més segurs, especialment quan s’implementen en maquinari com una mesura de doble factor d’autenticació”.