11 sept 2014

La doble autenticación y la seguridad en las redes

Con el reciente caso de el robo de fotos desde iCloud, parece que los usuarios  han empezado a usar(o al menos ya saben que existe) la autentificación en dos pasos. Esta medida de seguridad,que nos permite saber cuando alguien  intenta conectarse a nuestra cuenta desde Sri Lanka y se lo impide, debería activarse en todas nuestras identidades digitales,siempre que sea posible.

Pero, ¿qué es la doble autenticación? Cuando nos logueamos en algun sitio web,suele ser mediante un nombre de usuario y una contraseña. El nombre de usuario puede variar desde el correo que hayamos usado al registrarnos o un nickname que usemos en el portal. ¿Que significa esto? Que si alguien quiere acceder a nuestra cuenta tiene que saber nuestro nombre de usuario y nuestra contraseña.

El problema de esto es que la seguridad de nuestra cuenta se basa en que nadie averigüe nunca ambos campos...y ahí es donde las responsabilidades se dividen. Si nuestra contraseña es 1234 o una contraseña muy trivial,será mas fácil averiguarla que si tuvisese 25 carácteres. Por otro lado, si podemos probar contraseñas sin impedimento.... Un ataque de fuerza bruta consiste en intentar combinaciones de usuario-contraseña hasta que se consigue entrar.

La solución a estos ataques es controlar el número de intentos que realiza un usuario(o una IP) al intentar loguearse. O a partir de un número X de intentos aumentar el desafío y además de las credenciales hay que introducir un captcha,que al fin y al cabo a todos se nos va la memoria y si no nos acordamos de la contraseña que acabamos de cambiar,pues no es cosa de quedarnos sin cuenta.

Bastante simple no? Pues aun así ha habido casos en Wordpress, distintos foros por internet e incluso  iCloud dónde por no controlar correctamente dichos ataques, se ha conseguido el login de numerosas cuentas.

Asi que hay que hacerse a la idea de que,tarde o temprano,no serás el único en saber tu par usuario/contraseña. Y ese alguien que lo sepa se podrá hacer pasar por ti,entrar en tu cuenta del banco,ver tus correos....

La doble autenticación se basa en la siguiente fórmula:
Lo que sabes AND Lo que tienes -> Login con éxito  

¿Qué significa "lo que tienes? Algo que nadie más que tu tenga o pueda obtener. Muchos portales de internet transforman esta idea en un código que recibes por SMS en el momento en el que alguien se intenta ha conseguido "conectarse" al portal con tus credenciales. Y digo "conectarse" porque después de autenticarse se le pedirá el código que tú acabas de recibir. A no ser que tengan tu teléfono móvil(o este ya este comprometido) no podrán conectarse sin usar este código.

Y si intentan un ataque de fuerza bruta al código? A Google,despues de buscarle las cosquillas me ha puesto un captcha,además de que cambió el código. Llega un momento en el que hay que cerrar la pestaña e intentar loguearse de nuevo

La doble autenticación se configura en Configuración de la cuenta - > Seguridad.

Una opción para aquellos que no quieran dar su teléfono es usar la aplicación Google Authenticator, que gestiona los códigos para usados en el momento de la autenticación.

Facebook,Twitter,iCloud,Wordpress,Gmail tienen disponible la doble autenticación. No es obligatoria,pero si altamente recomendable.

¿Qué ha pasado con iCloud?

Si conocemos el Apple ID de un usuario e intentamos autenticarnos una y otra vez, Apple no nos banea,nos ayudan a restaurar nuestra contraseña, mediante un e-mail a nuestro correo de reserva o a través las ya  imposibles de averiguar famosas preguntas de seguridad. Tambien nos preguntarán nuestra fecha de cumpleaños, datos altamente díficiles de conseguir para alguien que no tenga Internet y/o nos conozca un mínimo.

Si nos equivocamos dos veces en alguna de las pruebas pasará esto:


A la tercera....


Pero esto sólo pasa cuando intentamos gestionar el ID de Apple. Desde Windows, usando el panel de iCloud para descargar nuestros archivos de la nube, no se controla el número de intentos, por lo que es un prueba y error hasta que tus fotos (privadas o no), documentos, y lo que tengas subido, acabe en la red.

Hubo un tiempo en el que fue así. Ahora,tras un número de intentos fallidos, Apple te bloquea la cuenta y te conduce a su servicio iForgot, donde nos dan la oportunidad de recuperar nuestra contraseña mediante un mensaje de correo o preguntas de seguridad.

Antes de ayer fue la keynote de Apple y los chicos de Cupertino han prometido mejoras en la seguridad de sus productos. Mientras acordaos de activar la doble autenticación y tened cuidado con lo que subis a la nube.

Contribución de Gonzalo Junquera (@junquerG), de Zink Security
gjunquera@zinksecurity.com

No hay comentarios:

Publicar un comentario