Ya hemos hablado en el blog que las contraseñas no son seguras. Hay que tenerlas, y gestionarlas de manera segura, pero tener sólo una contraseña en un sistema importante es algo muy inseguro. Lo más inteligente es usar (al menos) el doble factor de autenticación. Porque una contraseña se puede descubrir por fuerza bruta, o se puede recuperar de nuestro ordenador (infectado, keylogger etc), o puede hackearse la web donde esté la contraseña (sobre todo si repetís contraseñas), o capturarse en algún paquete si alguien está espiando la red. No podemos arriesgarnos. Precisamente porque se puede recuperar de algún sitio externo a nosotros, da igual la longitud de las mismas. La doble autenticación consiste básicamente en un segundo método de seguridad por el cual, una vez introduzcamos el usuario y la contraseña, se nos solicite otro código o número PIN que recibamos en algo que llevemos encima (normalmente el móvil). Así, aunque nos roben la contraseña, no pueden saltarse el segundo factor. No os asustéis, podéis hacer que vuestros equipos donde trabajáis normalmente sólo lo soliciten la primera vez. Pero tenéis la seguridad que, en cualquier otro equipo, el sistema pedirá este doble factor. Afortunadamente, la mayoría de los servicios que usamos (Facebook, Gmail, Dropbox, etc) aceptan aplicaciones de doble autenticación. Ya explicamos hace un tiempo cómo activarlo en Facebook, y lo haremos con algún otro servicio. Y muchos ya lo estáis usando en el banco con las transferencias donde manda un código por SMS (aunque parece que ese método no es el más seguro). Los usuarios además se están acostumbrando a usar la doble autenticación en los servicios con criptomonedas, donde si alguien entra te puede robar el dinero. Ahí si que es importante usar estas aplicaciones. La mayoría aceptan una u otra de estas aplicaciones que vamos a mencionar. Sólo tenemos que saber cómo configurarlo en cada sistema (de ahí que hagamos vídeos sobre cómo hacerlo). Las siguientes aplicaciones son las que recomendamos para doble factor de autenticación. Google Authenticator: La de Google, acepta el protocolo HMAC-based One-time Password Algorithm (HOTP) y el muy usado Time-based One-time Password Algorithm (TOTP) . Obviamente es la aplicación de Google, así que es muy usada por los servicios y muy compatible. Tiene además otras ventajas muy importantes, como son que trabaja sin conexión (el sistema genera una clave y la aplicación la misma aunque no tengas Internet en el móvil), y que permite varias cuentas en el mismo móvil. Latch. Proyecto de Eleven Paths (la empresa de Chema Alonso), por lo tanto español y de la que somos muy fans (como habéis visto en el vídeo para proteger Facebook con Latch). Aceptan TOTP, así que en la mayoría de los servicios sólo tienes que decirle que vas a protegerlo con otra app y te deja o escanear un BIDI o introducir un script. Hay muchos tutoriales sobre cómo hacerlo para las páginas más comunes y nosotros publicaremos alguno. Obviamente para ellos es mejor que Google :-D. Yo lo uso en mi móvil. Authy. Otra muy usada y aceptada. Si quieres recibir tu código en el ordenador, o sincronizar las cuentas Authy te lo hace muy fácil. Tenéis manuales aquí o un ejemplo en el siguiente vídeo. Yubico. No es una app, es hardware, pero la incluímos porque es otra opción más, sobre todo para los más frikis de la seguridad. Simplemente lleva la llave USB contigo y conéctala cuando haga falta. Si no detecta la llave, no se puede conectar. Duo. Otro sistema que aceptan algunas web, sobre todo americanas. Tiene una modalidad gratuita con la autenticación de 2 factores. Más ligera que la de Google. Úsala donde no acepten G.A. FreeTOTP. Sencillo, ligero y de código abierto. Para aquellos que quieran una solución ligera u opensource. Microsoft Authenticator. La dejamos aquí como referencia, pero no la hemos visto que se use mucho. Hay más…pero estas son las más famosas. ¿Cual recomendamos? Personalmente uso Latch cuando puedo (porque me parece un gran proyecto), y si no Google Authenticator por compatibilidad.
