¿Qué elegir para asegurar su vida digital?

Google ofrece dos servicios de autenticación multifactor. Si duda entre la aplicación móvil y la clave física para asegurar su identidad digital, esto es lo que impulsará su elección.

Anunciada hace un año para Estados Unidos, la llave Titan de Google aterrizó en Francia a principios de agosto. Te permite agregar una capa adicional de protección al acceder a tus cuentas digitales … al igual que Google Authenticator, una aplicación que la firma Mountain View lanzó en 2010.

Pero, ¿por qué diablos ofrece Google dos productos que sirven más o menos lo mismo? Tanto la clave Titan como el Autenticador de Google realizan el mismo tipo de proceso: autenticación multifactor (“MFA” para autenticación multifactor, o “2FA” cuando solo hay dos factores).

El MFA consiste en solicitar al usuario varios datos que le permitan ser identificado, en lugar de una simple contraseña. Este es, por ejemplo, el caso cuando nuestro banco nos envía un SMS para confirmar un pago. Si MFA es siempre mejor que nada en absoluto, está lejos de ser perfecto según las soluciones utilizadas. En el caso de los SMS, no protege contra el phishing de sitios fraudulentos, y los piratas informáticos pueden interceptar el SMS o falsificar la tarjeta SIM.

Authenticator y Titan son formas más sofisticadas de MFA, pero cada una tiene sus ventajas y desventajas.

Por qué utilizar Google Authenticator (u otra aplicación TOTP)

Google Authenticator se basa en un algoritmo bien probado de procedimientos MFA: el Contraseña de un solo uso basada en tiempo (TOTP), un estándar central del consorcio OATH para promover métodos de autenticación comunes. Todos ustedes han estado lidiando con TOTP, que les envía un código con una validez limitada en un dispositivo de terceros, que luego ingresan en el sitio donde se quieren identificar.

Como con cualquier buen TOTP, solo necesitas tu teléfono móvil para usar Authenticator o una aplicación de la competencia como Authy. No es necesario gastar dinero, es gratis para ambos. El cifrado de extremo a extremo ofrece una resistencia a los ataques mucho mejor que la que permite el SMS. Sin embargo, se mantienen algunas fallas inherentes en TOTP. En particular, esto no protege contraSuplantación de identidad. Si el usuario intenta autenticarse en un sitio fraudulento, los piratas informáticos pueden volver a ingresar rápidamente sus credenciales (incluido el código TOTP) en el sitio real.

El otro problema con Authenticator es que las credenciales se almacenan en un solo dispositivo: el teléfono inteligente del usuario. Si pierde su teléfono, definitivamente perderá sus datos de inicio de sesión. También pueden ocurrir problemas similares al cambiar a un dispositivo más nuevo si no se tiene cuidado. Luego debe iniciar el procedimiento para recuperar su cuenta de Google.

Otras aplicaciones TOTP, como Authy, evitan este problema al manteniendo sus identificadores en el nube, donde se puede acceder a ellos desde varios dispositivos. Pero luego nos volvemos más susceptibles a los piratas informáticos, que pueden tomar el control de la aplicación si logran falsificar el número de teléfono de la víctima (este es el mismo tipo de vulnerabilidad que para un MFA por SMS).

Por qué utilizar una llave Titan (u otra llave U2F)

La llegada del estándar 2do factor universal (U2F) en 2014 fue aclamado por la comunidad de ciberseguridad. Esto permite utilizar una clave física, conectada por USB o comunicada por NFC, como segundo factor de identificación. El U2F está en manos de la Alianza FIDO y fue desarrollado conjuntamente por Google y la start-up Yubico, ahora conocida por su identificación YubiKey.

Google había tenido su propio programa de protección avanzada durante algunos años, ofreciendo compatibilidad U2F para sus servicios, pero solo ahora ofrece su propia versión de YubiKey en forma de clave Titan.

El kit de llaves Titan cuesta 55 euros en Francia. Por este precio, resistencia a suplantación de identidad Está garantizado, porque el sitio (¡real!) debe poder verificar que la clave está físicamente presente. Este fue el punto de venta de Google cuando lanzó su producto el año pasado. Probablemente sea más fácil de usar que Authenticator, ya que todo lo que necesita hacer es conectar la clave a su dispositivo y presionar un botón. No es necesario copiar un código en la pantalla durante un tiempo determinado.

El kit contiene dos llaves, una principal y otra de emergencia. No es tan malo perder uno todavía, pero si perdemos los dos, tienes que pasar por el cuadro de recuperación de cuenta. En general, con una llave Titan, solo corre el riesgo de perder el acceso a sus cuentas si está muy molesto; mientras que con una aplicación TOTP, esto le sucederá especialmente si le roban el teléfono.

Las claves U2F son generalmente más seguras y eficientes que las aplicaciones TOTP, aunque tampoco son inmunes a las vulnerabilidades de seguridad. En mayo pasado, Google tuvo que retirar algunas de sus teclas Titan debido a una vulnerabilidad en la función Bluetooth.