¿Por qué es necesaria la doble autentificación para validarte en un sitio web?

Sergio García 24/09/2018

EL PELIGRO DE LAS CONTRASEÑAS

El problema de utilizar una contraseña para autentificar a un individuo radica por un lado en la elección de una buena contraseña. Algunos terminan utilizando contraseñas fuertes y diferentes para cada cuenta y así evitar que puedan hackearles, pero al mismo tiempo se arriesgan a olvidar esas contraseñas en el proceso. 

Otros, eligen unas contraseñas fáciles de memorizar y que les hace la vida más sencilla, pero que son mas sencillas y fáciles de caer en manos de los cibercriminales.

Por otro lado, aunque tengamos la mejor contraseña del mundo, no son nuevas las filtraciones de bases de datos de contraseñas de grandes empresas.Como tampoco lo es el hecho de que las contraseñas y bases de datos tienen un valor económico determinado dentro de la Deep Web.

QUE SE ENTIENDE POR DOBLE AUTENTICACION

Cuando entramos en un servicio (puede ser un portal web, la administración de un dispositivo, el acceso a un servicio web) con nuestro usuario y contraseña, estamos utilizando dos datos que en teoría sólo sabemos nosotros. La cuestión es, ¿qué pasa si alguien más adivina nuestro usuario y contraseña, como en el apartado anterior hemos visto que puede ocurrir?

Para evitar ese escenario, añadimos otro factor para poder acceder. En algunos casos, como en la banca, se usa un token físico. Pero en la mayoría de los casos, lo que se usa es algo que todos tenemos y es propio de cada persona. Esto es el móvil. El móvil es nuestro y no lo toca nadie más (en teoría).

La idea es siempre la misma: añadir una verificación más de que eres tú y no un maleante quien está accediendo con tu cuenta. Para ello, el servicio comprueba que realmente tienes algo (móvil, token) que sólo tú deberías tener.

COMO IMPLEMENTAR LA DOBLE AUTENTICACION

METODO1: One Time Password (OTP).

Esto es una contraseña que sólo se puede usar una vez, y que va cambiando con el tiempo.

El servidor de autenticación elige un número, al que llamaremos clave, y que será la base de todas las contraseñas que se generen en tu móvil. Esa clave la transmite a la aplicación de tu teléfono, donde se quedará guardada.

Ahora toca el turno de entrar en el servicio. Por ejemplo, el portal de Dropbox te pide usuario, contraseña y este segundo código de autenticación (OTP), así que abres tu aplicación del móvil. En ese momento, se calcula el código en la app de tu móvil. Para ello, la aplicación coge la clave y la fecha y hora actual, los combina y sale el código que necesitas.

Dado que el código sólo está guardado en tu aplicación y en el servidor de autenticación, sólo tú puedes generar la contraseña y sólo el servidor puede decir si es correcta y, por lo tanto, si eres el usuario legítimo o no.

METODO2: Aceptación PUSH

Cuando te validas con usuario y contraseña, el servidor de autenticación te envía a tu móvil un mensaje de aceptación para que tú pinches el botón ACEPTAR. Si lo pulsas, el servidor de autenticación considera que tú eres el único capaz de aceptar ese mensaje y te da paso.

METODO3: Código QR

El código QR es un código de barras bidimensional único. El servidor de autenticación genera un código único para tí. Puede ser una imagen tal que así:

Esta imagen se envía a la app de autenticación de tu móvil que la guarda como tu código propio y exclusivo.

Cuando accedes a una página web para autenticarte, metes usuario y contraseña y te muestra una imagen QR. Entonces, abres tu aplicación del móvil y escaneas la imagen que te muestra la pantalla de tu ordenador con la cámara de tu móvil.

Si la imagen coincide con la almacenada en tu móvil, entonces estas validado y puedes acceder al servicio web.

HOY EN DÍA YA ES UNA NECESIDAD

La conclusión es que ya no nos podemos fiar de una contraseña únicamente, sino que será necesario este tipo de sistemas para autenticar que tú eres realmente tú.