Twitter se ha embarcado recientemente en un cambio importante que afectará la forma en que la mayoría de las personas protegen sus cuentas. La compañía les ha dicho a los usuarios que no pagan que pronto tendrán que dejar de usar una función de seguridad popular: la autenticación de dos factores a través de mensajes de texto.
Déjame explicarte por qué esto no es tan malo como podrías temer.
Para decirlo sin rodeos, la autenticación de dos factores requiere dos pasos de seguridad para verificar su identidad. El primer paso solicita un nombre de usuario y una contraseña, y el segundo requiere que ingrese un código temporal que se le envió o que se conecte a una clave de seguridad física. De esta manera, incluso si alguien tiene su contraseña, esa persona deberá realizar el segundo paso para iniciar sesión en su cuenta.
El anuncio de Twitter de este cambio fue inicialmente desconcertante y alarmante para muchos. Pero para que quede claro, Twitter está presionando a los usuarios para que adopten protecciones más estrictas, y ha creado una oportunidad para que todos nosotros mordamos la bala y mejoremos la seguridad de nuestras cuentas en línea.
Gorjeo dijo en una entrada de blog Los usuarios que no estaban suscritos a Twitter Blue ya no podrán usar mensajes de texto como forma de autenticación después del 20 de marzo. Las alternativas se basan en usar una aplicación de terceros para generar un código temporal o conectar una clave de seguridad autorizada para acceder a su cuenta.
“2FA seguirá siendo de uso gratuito y más seguro que los SMS”, dijo Elon Musk, propietario de Twitter. chirrido.
Twitter tenía un punto válido sobre las fallas en la autenticación basada en SMS, según Casey Ellis, director de tecnología de la firma de seguridad Bugcrowd. “En realidad tiene sentido, pero no se hace limpiamente”, dijo Ellis.
Pero, agregó, hay desventajas en el enfoque de Twitter. La autenticación de mensajes de texto solía ser la herramienta de seguridad más simple utilizada por la gran mayoría de las personas. Otros métodos requieren pasos de configuración adicionales.
(También desconcertante: los usuarios pagos de Twitter aún podrán confiar en los códigos que se les envían por mensaje de texto para iniciar sesión, una elección extraña si esta forma de autenticación es menos segura. Twitter no respondió de inmediato a una solicitud de comentarios).
Cambiar a otros métodos de seguridad no es intuitivo, por lo que existe el riesgo de que muchos usuarios de Twitter que no pagan recurran a omitir la autenticación de dos factores por completo.
Sin embargo, en medio de todo esto, existe una valiosa oportunidad para conocer los métodos más poderosos de autenticación de dos factores y por qué deberíamos considerar usar uno de estos, siempre que sea posible, en lugar de la seguridad basada en SMS para todas nuestras cuentas en línea. Esto es lo que necesita saber sobre cada método y sus ventajas y desventajas.
autenticación por mensaje de texto
Durante muchos años, Twitter y otros sitios han animado a los usuarios a configurar la autenticación de dos factores a través de mensajes de texto. Este método envía un código de seguridad sensible al tiempo al teléfono del usuario. Esta solía ser la forma más utilizada de autenticación de dos factores porque casi todo el mundo tiene un teléfono celular, por lo que incluso la persona menos experta en tecnología puede entenderlo.
Pero con el tiempo, los investigadores de seguridad han descubierto que la autenticación por SMS es un problema cada vez mayor. Un mensaje de texto que contiene un código de seguridad puede ser interceptado por alguien que secuestró su número de teléfono, una estafa conocida como intercambio de SIM. Así hackearon la cuenta de Twitter del ex CEO de la compañía, Jack Dorsey, en 2019.
Hay más problemas. El mensaje de texto no está encriptado, por lo que recibir mensajes de texto en redes extranjeras en países fuertemente monitoreados como China y Rusia puede representar un riesgo para la seguridad. Además, si viaja fuera de los Estados Unidos, puede ser costoso recibir mensajes de texto en un proveedor extranjero.
Los investigadores de seguridad continúan descubriendo nuevas fallas en la autenticación basada en SMS, por lo que podemos esperar que más sitios y aplicaciones eviten que los usuarios reciban códigos a través de mensajes de texto, dijo Ellis.
aplicaciones de autenticación
Esto nos lleva a las aplicaciones de autenticación, que descarga en su teléfono o computadora. Generan códigos de seguridad temporales (en lugar de enviar mensajes de texto a su teléfono) que ingresa para iniciar sesión en sus cuentas y aplicaciones en línea.
Usemos Twitter y la aplicación Google Authenticator como ejemplo.
Primero, descargue la aplicación Google Authenticator en su teléfono. Luego, en Twitter.com desde una computadora, haga clic en más→Seguridad y acceso a la cuenta→Autenticación de dos factores→Aplicación de autenticación.
Desde aquí, sigue los pasos en Twitter. Se le pedirá que use la aplicación Authenticator para escanear un código QR con la cámara de su teléfono, que vinculará la aplicación a su cuenta de Twitter y comenzará a generar códigos de seguridad.
Cuando inicie sesión en Twitter, ingresará su nombre de usuario y contraseña y luego abrirá la aplicación Authenticator para encontrar el código temporal.
La gran desventaja de usar la autenticación es que si pierde su teléfono o cambia a uno nuevo, puede ser difícil recuperar el acceso a sus cuentas. Por lo general, un sitio o aplicación como Twitter te permitirá recuperar el acceso a tu cuenta con un código de respaldo. En la configuración de autenticación de dos factores de Twitter, un menú llamado “Códigos de respaldo” generará un código que le permitirá volver a iniciar sesión. Asegúrese de anotar este código y guardarlo en un lugar seguro.
Esta técnica requiere algo de tiempo y ancho de banda mental para configurarse correctamente y acostumbrarse, pero es mejor en general. Es mucho más difícil que alguien secuestre su dispositivo para ver sus códigos de seguridad que interceptar un mensaje de texto.
llaves de seguridad
El tercer método, usar una clave de seguridad física en forma de una memoria USB que inserta en su computadora o teléfono para iniciar sesión, es el más seguro de todos. No es probable que veamos esta tecnología ampliamente adoptada porque una clave cuesta dinero, y si pierde su clave, puede ser difícil recuperar el acceso a su cuenta.
Usemos Twitter y la clave de seguridad Titan de Google como ejemplo.
Primero, tienes que comprar una llave de seguridad. Google vende Titan Security Key por $30; Incluye un par de llaves para diferentes tipos de computadoras y teléfonos.
Luego, en Twitter.com desde una computadora, haga clic en más→Seguridad y acceso a la cuenta→Autenticación de dos factores→llave de seguridad.
Desde aquí, siga las instrucciones de Twitter, que lo guiarán para conectar la llave a un puerto USB y presionar un botón para verificar la llave. Twitter luego mostrará una pantalla con un código de respaldo en caso de que pierdas tu clave. Guárdelo en un lugar seguro.
Una especie de molestia, ¿verdad? Sin embargo, puede ser útil para personas que trabajan en áreas altamente sensibles, como agencias gubernamentales y activismo.
mínimo
En conclusión, aplicar la autenticación de dos factores es un método relativamente conveniente y muy seguro de usar. Recomiendo que la mayoría de las personas elijan una aplicación, como Google Authenticator, Authy o Microsoft Authenticator, y la sigan. Todos funcionan igual.
Puede tomar algún tiempo configurar una aplicación de autenticación con todas sus cuentas en línea, pero solo tiene que hacerlo una vez. Y a la larga, puede ahorrarle tiempo porque iniciar sesión en los sitios de esta manera puede ser más rápido que esperar a que lleguen los mensajes de texto.