jueves, 15 de noviembre de 2012

Un poco más seguros con Google Authenticator

Compartir este artículo:

Una de las cosas que más preocupa (o no) a los usuarios es que le roben el password. Especialmente, si este password da acceso a su blog y este está en un dominio igual o similar a jesusdml.es. Lo que puede hacer el personal con la contraseña y el password de un sitio web, creo que está bastante bien “documentado” por Internet y no precisa de más rollos. Lo que no todo el mundo tiene tan claro es cómo evitar esto.

Ya comentaba en otro post, en qué consistia una autenticación basada en dos factores. Para que no tengais que rebuscar, me voy a marcar un bonito corta y pega de mi mismo:

Login y password en Lion

Lo que sabes: Quizás el método mas básico y utilizado de todos, que se trata en el conocimiento por parte del usuario del sistema de un dato supuestamente personal e intransferible, que habitualmente se traduce en un password o PIN combinado con un nombre de usuario para identificar el origen. Normalmente está presente en el resto de los métodos de identificación y autenticación. 

 Lo que tienes: Asociado a algún elemento físico, puede ser un token del estilo a un reloj/calculadora, una hojita de One Time Password, un serial o identificador en el móvil, una tarjeta de coordenadas, etc. Muchas aplicaciones móviles, asocian el ID del dispositivo con el/los número/s de teléfono evitando que el usuario deba autenticarse.

Lo que eres: Con la llegada de dispositivos biométricos, es posible autenticarse con una parte de nosotros mismos que se supone única. La huella, es el método más tradicional, aunque el iris del ojo, las venas de las manos o incluso el código ADN, pueden y podrán utilizarse como método de identificación y autenticación.

 Bien, como estarás pensando, el uso de contraseñas es el método más barato y que implementar cualquier otro de los dos métodos te puede salir por un ojo de la cara (sobre todo el biométrico, verbigracia a parte). Esto era así hasta que google ofreció de forma gratuita su OTP (One Time Password). Un Sistema OTP, crea un password “de usar y tirar desactivar” en función de una lista, una tarjeta de coordenadas o bien mediante algoritmos basados en tiempo.

¿Como usamos esto para mejorar la seguridad? Pues muy fácil. Además de nuestro password, que puede ser capturable en una red, el atacante y/o vecino cotilla que nos rompe el WiFi, debe tener algo que nosotros tenemos. En el caso que nos ocupa, google ha sacado una aplicación para iphone, android y blackberry (debe quedar alguna por ahí, no?) que actúa como generador de estas contraseñas mostrando la contraseña válida en cada momento.

Como esto último ha sido demasiado espeso, vamos a ver si con el caso práctico podemos verlo más claro. Lo primero que debemos hacer es instalar un plugin para WordPress que habilite la función de autenticación mediante el OTP de Google. En mi caso, estoy usando Google Authenticator.

Para activar este mecanismo de autenticación, debemos ir al apartado de nuestro usuario (cada usuario debe general el suyo. Los administradores solo pueden activar o desactivar su uso) generar una nueva clave secreta.

 

parametros google authenticator

Una ves hecho esto, debemos instalarnos nuestra aplicación en el móvil, en mi caso es la app de iphone, y capturar el QR con nuestro móvil. Si falla, podemos meter la clave secreta a mano. Lo que aparecerá en la siguiente pantalla, es la clave temporal que debemos usar conjuntamente con nuestro password habitual:

 

app google authentication iphoneLa aplicación para iPhone: Interfaz sencillo. Únicamente vemos la clave, la descripción o el usuario y en la esquina superior izquierda un temporizador con la validez de esta clave.

Una vez hecho esto, podemos emplear el uso de nuestras nuevas claves temporales haciendo mucho más seguro el acceso a nuestro blog:

 

login wordpress Google Authenticator

 

En caso de no meter correctamente la contraseña o el código de Google Autentication, el sistema nos dará error:

1._ Cuidado, hay que tener todo instalado antes de salir de nuestro blog y debemos tener un usuario alternativo administrador activado, antes de lanzarnos a hacer pruebas.

2._ Cuidado, hay que tener todo instalado antes de salir de nuestro blog y debemos tener un usuario alternativo administrador activado, antes de lanzarnos a hacer pruebas

Un Saludo,

1 comentario:

  1. [...] Una de las cosas que más preocupa (o no) a los usuarios es que le roben el password. Especialmente, si este password da acceso a su blog y este está en un dominio igual o similar a jesusdml.es.  [...]

    ResponderEliminar

Related Posts Plugin for WordPress, Blogger...