Aplicaciones de autenticación: procedimientos, ventajas y aplicaciones recomendadas de un vistazo

Ya sea Google, Facebook, Dropbox o Paypal: todos tienen cuentas online llenas de datos sensibles que no deben caer en manos de terceros no autorizados. Los servicios de Internet suelen estar protegidos únicamente con una …

Aplicaciones de autenticación: procedimientos, ventajas y aplicaciones recomendadas de un vistazo

  1. Revista
  2. »
  3. Artículo
  4. »
  5. Móvil
  6. »
  7. Aplicaciones de autenticación: procedimientos, ventajas y aplicaciones recomendadas de un vistazo

Ya sea Google, Facebook, Dropbox o Paypal: todos tienen cuentas online llenas de datos sensibles que no deben caer en manos de terceros no autorizados. Los servicios de Internet suelen estar protegidos únicamente con una contraseña, un juego de niños para un hacker experto. Con la autenticación de dos factores (2FA), puede establecer una segunda barrera después de la contraseña y proporcionar así más seguridad. La forma más sencilla de hacerlo es con una aplicación autenticadora, cuyos representantes más populares para Android y iPhone te presentamos en este artículo. Además, aprenderás qué métodos de autenticación están disponibles y lo seguros que son realmente.

¿Qué es una aplicación de autenticación?

Con la ayuda de una aplicación de autenticación, puedes gestionar cómodamente el acceso a sitios web protegidos con autenticación de doble factor en una ubicación central.

¿Dónde se utiliza 2FA?

Los sistemas de autenticación multifactor se pueden encontrar en una amplia variedad de áreas, por ejemplo, banca en línea, pagos con tarjeta de crédito, declaraciones de impuestos (palabra clave: ELSTER), varias plataformas en la nube y de medios sociales, etc.

¿Tiene también desventajas la autenticación de 2 factores?

Por un lado, la 2FA prolonga el proceso de inicio de sesión. Por otro, debes tener cuidado de no perder el factor basado en la posesión, de lo contrario dejarás de tener acceso al servicio en cuestión.

1. ¿cómo funciona la autenticación de dos factores?

Fingerabdruck Scanner auf Smartphone
Puedes elegir recibir el código generado por SMS o correo electrónico, pero también puede obtenerse mediante un token USB o una tarjeta inteligente, o puede ser una huella dactilar (en un sensor correspondiente)
.

Para acceder a su cuenta en línea, debe introducir un nombre de usuario y una contraseña en el primer paso, que corresponde al primer factor de un 2FA. A continuación, el sistema en el que te conectes comprobará que los datos son correctos. Tras la confirmación, sin embargo, no se le redirige directamente al contenido, como es habitual en la autenticación simple, sino a una segunda barrera o al segundo factor.

Tras solicitar la contraseña, la mayoría de los sistemas 2FA recurren a servicios externos para llevar a cabo la segunda fase de la verificación. El código generado puede recibirse por SMS o correo electrónico, pero también puede obtenerse mediante un token USB o una tarjeta inteligente, o puede ser una huella dactilar (en el sensor correspondiente). Lo ideal, sin embargo, es que los factores procedan de diferentes categorías, es decir, que representen una combinación de conocimiento (por ejemplo, contraseña o PIN), posesión (por ejemplo, generador TAN o tarjeta chip) o biometría (por ejemplo, huella dactilar).

Es bueno saberlo: Con una aplicación de autenticación, puedes utilizar 2FA incluso si, por ejemplo, el servicio de SMS no está disponible en ese momento.

2. ¿qué procedimientos de autenticación existen?

En principio, el segundo factor pretende aumentar la seguridad, pero su eficacia depende en última instancia de su aplicación y uso. Esencialmente, se distinguen tres procedimientos de autenticación diferentes:

One time Passwort wird nach Eingabe gelöscht
Los sistemas OTB se consideran ya obsoletos. Son mejores las aplicaciones que proporcionan el código requerido mediante TOTP («Time-based One-time Password»)
.

  • Con los sistemas TAN/OTP («One Time Password»), se transmite una contraseña de un solo uso (HOTP, HMAC-based One-time Password) como segundo factor. Sin embargo, este método se considera ahora anticuado y ya no lo suficientemente seguro. Son mejores los generadores de TAN o las aplicaciones que proporcionan el código necesario utilizando TOTP («Time-based One-time Password»), donde los códigos cambian cada minuto, por ejemplo.
  • Los tokens criptográficos almacenan una clave criptográfica privada. La autenticación se realiza enviando una solicitud al token, que sólo puede responder correctamente con la ayuda de la clave privada. La propia clave puede almacenarse, por ejemplo, como un certificado de software o en una tarjeta inteligente o una memoria USB especial/token NFC.
  • Lossistemas biométricos verifican la existencia de una característica física previamente registrada (cara, huella dactilar, retina, etc.). Éstas suelen ser visibles para todo el mundo, por lo que el reconocimiento de la vida es importante. De lo contrario, el sistema podría ser engañado simplemente con una foto, por ejemplo.

3 Las aplicaciones de autenticación más populares de un vistazo

Entretanto, numerosos servicios en línea y empresas ya utilizan el procedimiento de autenticación de 2 factores para un inicio de sesión seguro. En la siguiente sección, le presentaremos varias aplicaciones de autenticación que hacen que la configuración y el uso de 2FA sean especialmente fáciles y cómodos.

3.1 Google Authenticator para Android e iOS

El Autenticador de Google genera un código en tu smartphone o tableta que tienes que introducir al iniciar sesión en tu cuenta de Google. La configuración es relativamente sencilla. Primero tienes que confirmar tu cuenta:

  1. Accede a tu cuenta de Google y haz clic en la opción«Seguridad» del menú.
  2. A continuación, en la sección«Iniciar sesión en Google«, selecciona la opción«Confirmar en dos pasos«.
  3. Haz clic en«Iniciar ahora«.
  4. Puedes elegir entre utilizar un dispositivo Android vinculado, un SMS, una clave de seguridad o una llamada de audio para iniciar sesión únicamente.
  5. Por último, establece una opción de sustitución (por ejemplo, otro número de teléfono) y confirma los datos introducidos con otro clic.

En el siguiente paso, instale y configure la aplicación Authenticator real. Puede descargarla gratuitamente desde Play Store (Android) y Apple Store (iOS).

  1. Inicie la aplicación Authenticator y añada su cuenta de Google mediante«Escanear código de barras» o«Introducir clave«.
  2. Vuelve al PC y selecciona de nuevo«Confirmación en dos pasos» en«Seguridad«.
  3. Haga clic en «Configurar» en«AplicaciónAuthenticator» y seleccione su tipo de smartphone.
  4. Aparecerá un código de barras de seis dígitos en la pantalla. Escanéelo con la cámara del smartphone y haga clic en la opción «Añadir cuenta«. Introduce el código que aparece en la App en tu cuenta de Google en el escritorio.
  5. La 2FA ya está configurada y lista para usar.

Es bueno saberlo: El Autenticador de Google no sólo funciona con su cuenta de Google o los servicios de Google, sino que también se puede utilizar con muchas otras aplicaciones, como Facebook, Dropbox o varias soluciones de pago móvil. Sin embargo, el requisito previo para ello es que el servicio en cuestión admita 2FA.

3.2 Autenticador LastPass

Screenshot der LastPass Authentifizierungs-App
Para usar la OTA, necesitas una cuenta gratuita de LastPass y también instalar la respectiva extensión del navegador.

LastPass es uno de los gestores de contraseñas más populares del mercado y desde hace un tiempo también ofrece una práctica app de autenticación con LastPass Authenticator. Aquí no es necesario introducir ningún código para iniciar sesión; esto se hace pulsando un botón y basándose en un mensaje push en el que se seleccionan los sitios web deseados.

Los llamados inicios de sesión «one-tap» funcionan en el propio LastPass, así como con cinco sitios web de terceros (de libre elección), incluyendo por ejemplo Google, Facebook, Amazon (excluyendo AWS) o Dropbox. Sin embargo, se necesita una cuenta (gratuita) de LastPass para utilizar la OTA. Además, también hay que instalar y activar la extensión del navegador correspondiente.

Si ahora inicias sesión en un sitio web compatible, la extensión del navegador envía un mensaje push a tu teléfono móvil en el que confirmas el inicio de sesión con un toque de tu dedo. A continuación, la aplicación envía el código de autenticación a la extensión del navegador. El siguiente vídeo muestra exactamente cómo funciona:

Es bueno saberlo: Los inicios de sesión «One-Tab» son específicos de cada navegador. Esto significa: si ha iniciado sesión en Chrome, por ejemplo, tendrá que volver a introducir los datos de inicio de sesión si utiliza un navegador diferente (por ejemplo, Microsoft Edge).

3.2 Aplicación de autenticación Authy

Screenshot der Authy Authenticator App
Authy almacena todos tus tokens en la nube y también permite sincronizarlos en varios dispositivos finales.

Una de las desventajas de 2FA es que tienes que reactivar todos tus códigos de autenticación cuando cambias a un nuevo smartphone. Gracias a Authy, esto ya es cosa del pasado, porque la herramienta almacena todos tus tokens en la nube. Para utilizar la función, basta con activar la copia de seguridad cifrada. Después, los tokens se almacenan en los servidores de Authy. Esto te permite acceder a tus códigos cada vez que inicies sesión en una aplicación de Authy en tu smartphone, ordenador o tableta. Los sitios web compatibles con Google Authenticator también funcionan con Authy, por lo que la máxima compatibilidad está garantizada.

Para configurar una nueva cuenta de Authy, todo lo que tienes que hacer es escanear el código QR mostrado con la cámara de tu smartphone y después introducir manualmente la clave de autenticación en tu escritorio . Las cuentas configuradas se muestran claramente en la parte inferior de la pantalla, lo que facilita el cambio.

Precaución: Aunque el acceso múltiple a tus códigos 2FA es muy práctico en sí mismo, también tiene una desventaja decisiva. Según Authy, las copias de seguridad se cifran mediante una contraseña que se introduce en el smartphone antes de que lleguen a la nube. Esta es, por tanto, la única posibilidad de descifrado. Si olvidas la contraseña, ya no tienes acceso a tus códigos 2FA y, por lo tanto, se te bloquean todas las cuentas de un plumazo. La forma de recuperar el acceso, y si se recupera, depende de la política de recuperación de cuentas del servicio correspondiente.

Además, también puedes crear copias de seguridad cifradas en la nube con Authy y sincronizar los datos en varios dispositivos finales. La herramienta se puede descargar gratuitamente para Windows, Apple Mac, Android, iOS y Chrome OS.

Artículos relacionados