Una de las primeras cosas que todo el mundo aprende cuando empieza a manejar dispositivos y servicios conectados a Internet es que hay que usar contraseñas por todas partes. Desde desbloquear el smartphone a sacar dinero de un cajero automático o leer el email, todo requiere identificación y contraseñas. Y como cada vez somos más dependientes de estos servicios, desde acceder al banco a participar en las redes sociales, conviene que sean cada vez más seguros.
Este proceso de “dar el santo y seña” por todas partes se denomina autentificación. A veces basta con combinar un “nombre de usuario” con una contraseña. Y a veces es incluso más fácil: la mera posesión de algo (una tarjeta) combinada con un PIN da acceso a una compra o a billetes en efectivo. Cuando se necesita más seguridad –y que haya menos riesgo de falsificación o “ataque” en las transacciones– se emplea la llamada autenticación de múltiples factores (AMF). Por sencillez, a veces se limita a dos factores y entonces se conoce simplemente como autentificación de dos factores (2FA) aunque a veces se hace referencia a la autentificación de dos pasos, que técnicamente no es lo mismo aunque en la práctica es similar y también más segura.
La idea básica de los múltiples factores es emplear una contraseña más “fuerte” combinando:
- Algo que conoce la persona, como una contraseña.
- Algo que posee la persona, como una llave física.
- Algo que es la persona, como una huella dactilar o su rostro.
La idea es que combinar al menos dos de estos factores mejora la seguridad: una contraseña y una llave que genera códigos; una huella para desbloquear el smartphone y luego una contraseña para abrir una aplicación; o una contraseña más un código recibido por SMS en el teléfono móvil. Si además de esto se usan varios pasos (por ejemplo dos contraseñas, o dos llaves) entonces es cuando se habla de la “autentificación en dos pasos”.
Es importante saber que utilizar dos o más factores siempre mejora la seguridad, aunque sea sólo un poco. Mejor que una única contraseña para leer el correo sería una combinación de contraseña que luego hay que verificar con un código SMS, aunque el código SMS en sí no sea sumamente seguro –ni técnicamente un factor distinto–, sino más bien “otra cosa que se conoce”. Dependiendo del grado de seguridad que se necesite, unos factores son mejores que otros.
En los casos en los que se necesita más seguridad es normal tener que pasar por varios pasos y con múltiples factores. Un ejemplo típico sería pasar una tarjeta a la entrada de un edificio, usar una contraseña para desbloquear el ordenador y usar una huella o una llave física con códigos rotatorios para realizar cierta operación. Las llaves físicas como las Yubico o Google Titan son cada vez más populares: cumplen los estándares de seguridad, se pueden llevar en el llavero, usar en cualquier USB o de forma inalámbrica (NFC), y si se pierden no pasa nada porque dependen de otros factores. En resumen: si cualquier sistema permite añadir más factores o pasos para mejorar la seguridad suele ser conveniente hacerlo.
El experto en seguridad Bruce Schneier decía que el sentido común también juega un papel importante en todo esto. De hecho recomendaba utilizar contraseñas largas y complicadas (o aleatorias) y llevarlas apuntadas en un papelito en la cartera. Todo el mundo sabe dónde está su cartera y se percata al momento si desaparece. Entonces es que ha habido un problema de seguridad, y entonces es fácil anular las cuentas y contraseñas esperando cómodamente a recibir unas nuevas.
Foto | NeONBRAND @ Unsplash