Aplicacións con verificación en dous pasos: aumentando a seguridade das nosas contas

seguridade android

Cada día hay novas sobre o roubo de contrasinais en plataformas máis ou menos importantes. O pasado 9 de setembro un usuario publicaba nun foro ruso a listaxe de máis de 5 millóns de contras de Gmail e outros servizos email rusos cos contrasinais en texto plano. Se ben, os datos tiñan xa tempo e seguramente foron  recompilados a través de diferentes técnicas coma phishing ou infiltración en foros pouco seguros, non deixa de ser unha noticia alarmante. O administrador do foro, pouco despois de ser publicada o ficheiro de descarga, editouno eliminando os contrasinais pero deixando a listaxe das contas para que calquera puidese comprobar se estaba en dita listaxe. Na páxina sobre seguridade Hispasec fixeron un interesante estudo sobre o uso máis frecuente de contrasinais ca listaxe.

Outros roubos recentes e importantes a recordar tamén son a filtración de 145 millóns de contas de Ebay, 2.9 millóns de contas de Adobe ou mesmo a filtración en Sony PlayStation Network en 2011.

As medidas máis básicas para evitar accesos non autorizadosáas túas contas de usuario son tan básicas coma usar un bo contrasinal, gardalas en ficheiros cifrados con programas coma keepass e o máis importante, non utilizar a mesma contrasinal en todos os sitios.

Outra medida moi eficaz, e se o sitio web a soporta, é usar apps para autenticación de segundo factor tamén coñecidas como verificación en dous pasos. Se habilitamos este sistema de acceso na conta de usuario, cada vez que accedamos nos solicitará a maiores do contrasinal un código temporal ou token facilitado pola app.

Códigos de verificación en dous pasos con Google Autenticator. Fonte Google Play.

Namentres ca solución clásica por código a través de SMS tes que esperar pola mensaxe, con estas aplicacións o token está dispoñible en calquera momento e non é necesario estar conectado á rede. Ademáis, estas apps permiten gardar unha copia de tokens de uso único ou habilitar un acceso por SMS, por se perdésemos o móbil.

Unha destas aplicacións é Google Autenticator, dispoñible para Android e iOS que permite habilitar a verificación en dous pasos en sitios como da conta de Google coma Gmail, Facebook, Amazon ou Dropbox. O único que temos que facer é activalo na aplicación dende o móbil lendo un código de activación en QR na configuración do usuario.

Outra opción similar é Authy, con máis dixitos no token e unha vez feita a autenticación de usuario temos ate 24 horas sen necesidade de volver a introducir o token cada vez que entremos. Authy é compatible con Facebook, Gmail, Amazon, Github, Dropbox, Humblebundle entre outros.

Latch

Latch ten chaves de acceso ás nosas contas. Fonte Google Play.

Por último temos a aplicación Latch. En lugar de proporcionarnos un token para acceder con verificación en dous pasos temos un cadeado . Se o cadeado está aberto poderemos acceder á nosa conta, se está pechado non podemos acceder aínda que introduzamos o contrasinal correcta. Latch é unha app dispoñible para Android, Firefox OS, Windows Phone e iOS. Ademáis, hai plugins para engadir en blogs de WordPress e CMS coma Joombla, Drupal ou PrestaShop e mesmo ten a posibilidade de habilitalo a acceso por SSH a servidores GNU/Linux a través dun módulo PAM ou para acceder as contas de  Windows.

Así que xa sabedes, se queredes manter seguro e sinxelo o acceso ás vosas contas tedes estas apps para controlalo acceso.

Sobre o autor

2 Comments

  1. Roi 30 Setembro, 2014 Responder
  2. David Albela Pérez 1 Outubro, 2014 Responder

Reply