La mayoría de las empresas y servicios de internet están buscando que los usuarios activen las verificaciones de dos pasos para agregar de esta forma una capa adicional de seguridad.
Es algo que se vienen tomando muy en serio y para lo cual han invirtiendo muchos recursos ya que se busca aumentar el nivel de seguridad sin perder al mismo tiempo la usabilidad o comodidad de acceso.
Además se ha vuelto casi indispensable luego de las numerosas filtraciones de contraseñas que se han dado en los últimos tiempos, afectando a toda clase de sitios e incluso a gigantes como Yahoo.
Existe un sitio llamado haveibeenpwned.com creado por un especialista en seguridad que recopila información sobre todas esas filtraciones, allí uno puede ingresar su dirección de correo para comprobar si se ha visto expuesta alguna vez y diría que la mayoría tenemos al menos una cuenta que se ha visto comprometida.
La clave de la doble verificación se encuentra en que además de ingresar una contraseña, algo que podrían robarnos relativamente de forma sencilla, también se debe completar un segundo paso con algo que tenemos y es más complicado de robar.
Generalmente este segundo paso es el ingreso de un PIN aleatorio que recibimos en nuestro móvil, una confirmación mediante una App que debemos tener instalada e incluso la conexión de una llave USB en el equipo.
Los accesos también se pueden reforzar con notificaciones que se reciben cada vez que alguien accede a un sistema, incluso cuando somos nosotros los que accedemos. Esto podrá parecer molesto para muchos usuarios, pero permitiría detectar un acceso no autorizado de forma sencilla, algo que también se puede hacer mediante los logs de acceso o actividad como tienen Outlook y Gmail.
De esta forma podemos estar más tranquilos, aunque estos segundos factores tampoco son infalibles. Bastaría por ejemplo con que alguien tenga accedo físico a nuestro móvil o bien lo infectara para vulnerarlo.
Es por ello desde hace tiempo se viene hablando de un tercer factor de autenticación, de esta forma el primero sería algo que nosotros sabemos, el segundo sería algo que nosotros tenemos y el tercero podría ser algo que nosotros somos.
En este último grupo ya entran en juego algunas tecnologías como las huellas dactilares, la identificación facial, de voz e incluso del iris, también se podría implementar algún sistema de geolocalización o de dispositivos que deben estar en un mismo lugar (por ejemplo el móvil junto a un reloj inteligente).
Hay muchas alternativas que podrían funcionar como un tercer factor y asegurarían, hasta cierto punto, que el usuario que ingresa los dos primeros datos es el usuario real y no un ciberdelincuente.
Para la gran mayoría podrá parecer exagerado agregar tanta seguridad para un simple login, pero cuando se manejan datos sensibles o confidenciales es algo necesario y que muchas personas seguramente utilizarían.
De momento la mayoría de los servicios sólo ofrecen dos pasos de verificación, así que si no los estás utilizando este sería un buen momento para activarlos.
El «segundo paso» es un peligro latente. Entregarle la autenticación a un teléfono. Sino fijense el artículo «How to lose $8 k worth of bitcoin in 15 minutes with Verizon».
La verificación no tendría que depender de terceros. Prefiero los «santo y seña», responder a una pregunta que has escrito al registrarte.
Dependiendo en lo que se quiera tener más seguridad, una cuenta de mail tal vez no tanto pero si en una cuenta bancaria o en un mail que si tenga esa cuenta asociada. No se, si hay mayores niveles de seguridad me parece bien, estan disponibles y es el usuario y el que los habilita o no.
Yo todavía no estoy 100% convencido de agregar tantos factores a la autenticación. Con una password fuerte me parece suficiente. Por ejemplo, el Samsung Galaxy S8 estrenado recientemente agrega reconocimiento facial y ya lo hackearon con una selfie mostrada desde otro celular. ¿agregamos un cuarto factor de autenticación?