Página principal » cómo » Las diferentes formas de los SMS de autenticación de dos factores, aplicaciones de autenticación y más

    Las diferentes formas de los SMS de autenticación de dos factores, aplicaciones de autenticación y más

    Muchos servicios en línea ofrecen autenticación de dos factores, lo que mejora la seguridad al requerir más que solo su contraseña para iniciar sesión. Hay muchos tipos diferentes de métodos de autenticación adicionales que puede usar.

    Los diferentes servicios ofrecen diferentes métodos de autenticación de dos factores, y en algunos casos, incluso puede elegir entre unas pocas opciones diferentes. Así es como funcionan y en qué se diferencian..

    Verificación de SMS

    Muchos servicios le permiten registrarse para recibir un mensaje SMS cada vez que inicie sesión en su cuenta. Ese mensaje SMS contendrá un breve código de uso único que deberá ingresar. Con este sistema, su teléfono celular se utiliza como segundo método de autenticación. Alguien no puede simplemente ingresar a su cuenta si tiene su contraseña; necesitan su contraseña y acceso a su teléfono o sus mensajes SMS.

    Esto es conveniente, ya que no necesita hacer nada especial, y la mayoría de las personas tienen teléfonos celulares. Algunos servicios incluso marcan un número de teléfono y tienen un sistema automatizado que habla un código, lo que le permite usarlo con un número de teléfono fijo que no puede recibir mensajes de texto.

    Sin embargo, hay grandes problemas con la verificación de SMS. Los atacantes pueden usar ataques de intercambio de SIM para obtener acceso a sus códigos de seguridad o interceptarlos gracias a fallas en la red celular. Recomendamos no usar mensajes SMS, si es posible. Sin embargo, los mensajes SMS siguen siendo mucho más seguros que no usar ninguna autenticación de dos factores.!

    Códigos generados por la aplicación (como Google Authenticator y Authy)

    También puede tener sus códigos generados por una aplicación en su teléfono. La aplicación más conocida que hace esto es Google Authenticator, que Google ofrece para Android y iPhone. Sin embargo, preferimos Authy, que hace todo lo que hace Google Authenticator, y más. A pesar del nombre, estas aplicaciones utilizan un estándar abierto. Por ejemplo, es posible agregar cuentas de Microsoft y muchos otros tipos de cuentas a la aplicación Google Authenticator.

    Instale la aplicación, escanee el código al configurar una nueva cuenta, y esa aplicación generará nuevos códigos aproximadamente cada 30 segundos. Tendrá que ingresar el código actual que se muestra en la aplicación en su teléfono, así como su contraseña cuando inicie sesión en una cuenta.

    Esto no requiere una señal celular en absoluto, y la "semilla" que permite a la aplicación generar esos códigos de tiempo limitado se almacena solo en su dispositivo. Eso significa que es mucho más seguro, ya que incluso alguien que obtiene acceso a su número de teléfono o intercepta sus mensajes de texto no sabrá sus códigos.

    Algunos servicios, por ejemplo, el autenticador Battle.net de Blizzard, también tienen sus propias aplicaciones dedicadas para generar código..

    Claves de autenticación física

    Las claves de autenticación física son otra opción que está empezando a ser más popular. Las grandes empresas del sector tecnológico y financiero están creando un estándar conocido como U2F, y ya es posible usar un token U2F físico para proteger sus cuentas de Google, Dropbox y GitHub. Esta es solo una pequeña llave USB que pones en tu llavero. Cada vez que desee iniciar sesión en su cuenta desde una computadora nueva, deberá insertar la llave USB y presionar un botón. Eso es todo, no hay códigos de mecanografía. En el futuro, estos dispositivos deberían funcionar con NFC y Bluetooth para comunicarse con dispositivos móviles sin puertos USB.

    Esta solución funciona mejor que la verificación por SMS y los códigos de un solo uso porque no se puede interceptar ni alterar. También es más simple y más conveniente de usar. Por ejemplo, un sitio de suplantación de identidad (phishing) podría mostrarle una página de inicio de sesión de Google falsa y capturar su código de un solo uso cuando intenta iniciar sesión. Luego, podrían usar ese código para iniciar sesión en Google. Pero, con una clave de autenticación física que funciona en conjunto con su navegador, el navegador puede garantizar que se está comunicando con el sitio web real y que el atacante no puede capturar el código..

    Espera ver mucho más de estos en el futuro..

    Autenticación basada en la aplicación

    Algunas aplicaciones móviles pueden proporcionar autenticación de dos factores usando la aplicación en sí. Por ejemplo, Google ahora ofrece una autenticación de dos factores sin código, siempre y cuando tenga la aplicación Google instalada en su teléfono. Cuando intente iniciar sesión en Google desde otra computadora o dispositivo, solo debe tocar un botón en su teléfono, no se requiere código. Google está comprobando para asegurarse de que tiene acceso a su teléfono antes de intentar iniciar sesión.

    La verificación en dos pasos de Apple funciona de manera similar, aunque no usa una aplicación, usa el sistema operativo iOS en sí. Cuando intenta iniciar sesión desde un dispositivo nuevo, puede recibir un código de uso único que se envía a un dispositivo registrado, como su iPhone o iPad. La aplicación móvil de Twitter también tiene una función similar llamada verificación de inicio de sesión. Y, Google y Microsoft han agregado esta característica a las aplicaciones para teléfonos inteligentes Google y Microsoft Authenticator.

    Sistemas basados ​​en correo electrónico

    Otros servicios dependen de su cuenta de correo electrónico para autenticarse. Por ejemplo, si habilita Steam Guard, Steam le pedirá que ingrese un código de uso único que se le envíe a su correo electrónico cada vez que inicie sesión desde una computadora nueva. Esto al menos garantiza que un atacante necesitaría tanto la contraseña de su cuenta de Steam como el acceso a su cuenta de correo electrónico para obtener acceso a esa cuenta.

    Esto no es tan seguro como otros métodos de verificación de dos pasos, ya que puede ser fácil para alguien obtener acceso a su cuenta de correo electrónico, ¡especialmente si no está utilizando la verificación de dos pasos en ella! Evite la verificación basada en correo electrónico si puede usar algo más fuerte. (Afortunadamente, Steam ofrece autenticación basada en la aplicación en su aplicación móvil).

    El último recurso: códigos de recuperación

    Los códigos de recuperación proporcionan una red de seguridad en caso de que pierda el método de autenticación de dos factores. Cuando configura la autenticación de dos factores, generalmente se le proporcionarán códigos de recuperación que debe escribir y guardar en un lugar seguro. Los necesitarás si alguna vez pierdes tu método de verificación de dos pasos.

    Asegúrese de tener una copia de sus códigos de recuperación en algún lugar si está usando la autenticación de dos pasos.


    No encontrarás tantas opciones para cada una de tus cuentas. Sin embargo, muchos servicios ofrecen múltiples métodos de verificación en dos pasos que puede elegir.

    También existe la opción de utilizar múltiples métodos de autenticación de dos factores. Por ejemplo, si configura una aplicación de generación de código y una clave de seguridad física, podría obtener acceso a su cuenta a través de la aplicación si alguna vez pierde la clave física..