Entendiendo la autenticación multi factor y las contraseñas seguras

Nota: para este magnífica entrada habia preparado imágenes en en photoshop, pero incumpli una regla de la seguridad de la información la cual es almacenar copias de respaldo, por lo que utilizo mi habilidad en paint y con suerte resulta ser un poco cómico.

Cuando creamos una cuenta en un sitio o ya sea que nos entreguen credenciales en nuestro trabajo normalmente tenemos lo que se llama un usuario y un factor de autenticación, pero ¿qué es un factor de autenticación?

Un factor de autenticación es una prueba de ser el poseedor de dicho usuario o cuenta y puede ser de tres tipos:

  1. Algo que se sabe: este es el tipo de factor más utilizado y por ende el más conocido como lo son las contraseñas o passwords y/o pines de acceso.
Algo que comunmente conocemos: las contraseñas.
  • Algo que se es: Cuando hablamos de este factor nos referimos a una característica propia la cual sabemos que difícilmente será igual entre dos personas como la huella dactilar, la retina o inclusive un elemento que está ganando popularidad como es el reconocimiento facial.
Todos tenemos características que nos hacen únicos y es por este motivo que pueden ser utilizadas para la autenticación.
  • Algo que se tiene: popularmente utilizado en el rubro financiero como matrices de autenticación o generadores de token físicos los cuales vienen en muchos sabores y colores o por medio de aplicaciones en nuestros dispositivos móviles.
Las matrices nos piden ingresar lo que aparece en una fila y columna y esta son únicas por usuario, aunque en la actualidad han sido reemplazadas por dispositivos dedicados (generadores de tokens) y smartphones.

¿Entonces cuando se utiliza autenticación múltiple factor?

En primer lugar, para decir que la autenticación es de múltiple factor debemos utilizar dos o más factores diferentes como una contraseña y un token y la utilizamos cuando queremos implementar un nivel de seguridad más robusto. Difícilmente un atacante tendrá disponible ambos factores.

Google cuenta con la aplicación “Google Authenticator” desde el cual se manejan los tokens. Microsoft tiene una similar simplemente llama “Authenticator” inclusive podemos implementar aplicaciones como “Authy” para gestionar nuestros tokens y si eres desarrollador de software puedes ver que estos cuentan con documentación extensa para que los puedas implementar

Google Authenticator es una execente herramienta, aunque podemos utilizar otras como Authy.

Algunos sitios piden el usuario, contraseña y toquen, aunque por seguridad la mayoría utiliza la metodología de “autenticación de dos pasos”. Primero se pide el usuario y contraseña, luego se pide el toquen, esto con el fin de reducir ataques de fuerza bruta y agregar una capa adicional de seguridad.

Primero el usuario y contraseña, luego el token que puede ser recibido por SMS o generado desde un dispositivo.

Entonces ¿Es siempre necesaria una contraseña fuerte?

Si, siempre es recomendado utilizar una contraseña fuerte, pero a ¿qué se refiere esto?, simple lo podemos reducir en lo siguiente:

  • No utilizar palabras que se puedan encontrar en el diccionario.
  • No utilizar fechas de nacimiento ni nombre propio o de familiares.
  • Es recomendable utilizar por lo menos un carácter en minúscula, uno mayúscula, un dígito y un carácter especial.
  • Que tenga una longitud considerable de al menos 10 o más caracteres.

Una forma sencilla de utilizar una contraseña de este tipo es guiarse de una frase de una canción, un dicho, etc. Por ejemplo:

A brazo partido

Tiene una longitud de 15 caracteres contando los espacios, pero podemos hacerlo mejor utilizando lo siguiente:

  • Cambiar los espacios por guiones bajos “_”.
  • Cambiar las “a” por un “4” y las “o” por un “0”.
  • Cambiar la “i” por un símbolo de cierre de exclamación.
  • Convertir a mayúscula la primera letra de cada palabra.

Utilizando esto nos queda:

4_Br4z0_P4rt¡d0

Tiene la misma longitud, pero es mucho más segura únicamente debemos de acordarnos de la frase principal y los tipos de reemplazo utilizados.

About the author: Juan Rodríguez

Leave a Reply

Your email address will not be published.