La autenticación simple es un sistema de protección que se utiliza con frecuencia en varios servicios, sin embargo, algunos sitios como Apple y Facebook implementaron doble autenticación para mitigar ataques relacionados al robo de contraseñas. A esta lista de grandes empresas que cuentan con dicho sistema se suma Twitter, por lo mismo, en este post se detalla en qué consiste esta nueva implementación y cómo activar la doble autenticación.
Toda persona que haya utilizado alguna vez algún servicio de correo electrónico, redes sociales, o almacenamiento de archivos, por mencionar sólo algunos, estará familiarizada con el proceso de autenticación. Mediante el mismo, se busca proteger los datos de cada usuario frente al acceso no autorizado por parte de terceros. En su forma más sencilla, se solicita al usuario el ingreso de una contraseña que solo esa persona conoce, y que debería garantizar que efectivamente se trata del usuario correcto. Este es un caso de autenticación simple basada en factor de conocimiento: para lograr acceso, el usuario debe demostrar algo que sabe. Sin embargo, existen algunos problemas en torno a la autenticación simple.
Que solamente el usuario conozca la contraseña de acceso no implica que alguien no pueda adivinarla a través de ataques de fuerza bruta. Si bien este parece ser un escenario no muy factible, es totalmente posible debido a ciertos factores técnicos y humanos que posibilitan ataques informáticos que roban contraseñas. Tal es así que hace algunos meses Twitter sufrió un ataque en el que se comprometieron 250.000 usuarios, por lo que surge la necesidad de plantearse métodos de autenticación más seguros.
La doble autenticación se basa en agregar un segundo factor de autenticación al empleado en el método simple, lo cual brinda una opción considerablemente más segura. Esto se puede lograr combinando algo que el usuario sabe (una contraseña) con algo que el usuario posee (un mensaje enviado a su teléfono móvil), mitigando el riesgo de acceso no autorizado con credenciales robadas, por ejemplo. Dado que el código que se envía al teléfono en cada intento de inicio de sesión es distinto y aleatorio, un tercero no podrá acceder a menos que posea el teléfono en sus manos en ese momento. Debido a que más del 64% desconoce qué es la doble autenticación en América Latina, es importante destacar que el usuario tiene la posibilidad de activar el método de doble autenticación en Twitter. Para esto se deberá, en primera instancia, acceder a la Configuración de la Cuenta.
Una vez allí, deberá tildar la opción “Solicitar un código de verificación cuando inicie sesión”. Sin embargo, no podemos llevar a cabo esta acción si no hemos añadido previamente un teléfono a nuestra cuenta.
Al hacer clic en “añadir un teléfono”, se obtendrá una nueva pantalla en la que el usuario deberá ingresar el número de teléfono que quiere vincular a la cuenta, además de otra información como el País y Proveedor de servicio de telefonía celular.
Una vez que se han completado los datos, se deberán seguir las instrucciones en pantalla, enviando un mensaje de texto al número especificado.
Luego de que el teléfono ha sido exitosamente asociado a la cuenta de Twitter, si vamos nuevamente al menú de Configuración de la Cuenta, ahora la opción “Solicitar un código de verificación cuando inicie sesión” estará disponible para ser seleccionada. Como consecuencia del proceso descripto, cada vez que el usuario ingrese su contraseña para acceder a Twitter, además se le enviará un código de seis dígitos a su teléfono, para que el mismo sea ingresado en el sitio web antes de poder continuar. Para profundizar sobre el tema de la doble autenticación, recomendamos leer el artículo ¿El fin de las contraseñas? La autenticación simple cada vez más amenazada.
Finalmente, desde ESET Latinoamérica también adherimos a esta tendencia y ofrecemos a todos los usuarios corporativos una herramienta que permite implementar la doble autenticación que se llama ESET Secure Authentication. Esta solución permite proteger recursos como redes VPN y servidores de correo con doble autenticación.
Matías Porolli
Especialista de Awareness & Research