La autenticación de dos factores (2FA) es una medida de seguridad fantástica, pero no todos los 2FA se crean igual. 2FA basado en SMS es, con mucho, la opción de autenticación menos seguraY, sin embargo, demasiadas empresas usan este método como predeterminado. Los piratas informáticos saben esto, por lo que se dirigen a los códigos 2FA de los usuarios para cometer fraude y robar acceso a las cuentas de Google. Dicho todo esto, cualquier 2FA es mejor que el No 2FA, por lo que vale la pena tolerar la autenticación basada en SMS si es la única opción 2FA ofrecida.
Ahora, sin embargo, los vientos están cambiando: Google es la última compañía que busca cambiar de códigos SMS a un método alternativo. Según lo informado por ForbesLa compañía planea cambiar de códigos SMS a códigos QR. Esto es algo bueno, incluso si cambia la forma en que inicia sesión en su cuenta de Google.
SMS 2FA no es lo suficientemente seguro
Es sorprendentemente fácil obtener un código SMS. Si alguien roba su teléfono inteligente, por ejemplo, podrá acceder a todos los códigos SMS que recibe. Pero los estafadores no necesitan acceso físico para interceptar sus códigos SMS. De hecho, pueden hacer esto mientras están sentados en otra parte del mundo.
Los estafadores pueden engañar a los operadores para que se haga cargo de la tarjeta SIM de su teléfono. Desde aquí, pueden deshabilitar su tarjeta SIM y transferir todos los servicios a los suyos, para que puedan acceder de forma remota a todos los códigos SMS enviados a su número. Si su cuenta bancaria está protegida por 2FA basada en SMS, por ejemplo, recibirán el código en su propio dispositivo, se autenticará y entrará en su cuenta. Algunos estafadores incluso participan en una práctica conocida como bombeo de tráfico, donde engañan a las organizaciones para que envíen una gran cantidad de mensajes SMS a los números que poseen los estafadores. Obtienen ganancias de esos mensajes, mientras que el resto de nosotros tratamos con un diluvio de spam. Al alejarse de 2FA basado en SMS, Google espera limitar esta estafa.
En lugar de confiar en la autenticación basada en SMS, he recomendado Uso de una aplicación de autenticador dedicadao el sistema de Keeys sin contraseña que Google en sí está presionando bastante. Al usar una aplicación de autenticador, el código genera cada 30 segundos en un servicio seguro que está controlado por usted, no por los operadores. Las aplicaciones de autenticador en sí requieren autenticación biométrica, y también pueden protegerse la contraseña, lo que agrega una capa adicional de seguridad. Puedes usar una llave física Para obtener la máxima seguridad de la autenticación, pero una aplicación de autenticador de configuración correctamente será bastante segura.
Si eres un juego para deshacerse de las contraseñas por completo, PassKeys son aún más seguros. Passkeys son claves generadas criptográficamente para cada inicio de sesión, y son exclusivos de la aplicación de dispositivo o contraseñas. Un PassKey generado para Google, en su Mac, nunca abandona el dispositivo. Incluso si alguien tiene sus manos en el archivo clave, no se puede piratear como está encriptado.
Google está cambiando los códigos predeterminados de 2FA a QR
Passkeys es el futuro, pero mientras tanto, Google está cambiando a los códigos QR como el método de verificación predeterminado para los números de teléfono.
Cuando los usuarios inician sesión en un nuevo dispositivo, se les pedirá un código QR que puedan escanear usando su teléfono inteligente para autenticar. El uso de un código QR para la verificación detiene los ataques de phishing, ya que no hay código para compartir. Y debido a que el escaneo de código QR está ocurriendo en persona, entre dos dispositivos en proximidad, no hay códigos de operador involucrados ni servidores en línea.
Todavía no hay una línea de tiempo para esto, ya que todo lo que Google ha dicho es «buscar más de nosotros en esto en el futuro cercano». A medida que se despliega la función, detallaré esos pasos aquí.
