Como comentamos en un post anterior sobre la idoneidad de las contraseñas como método único para proteger nuestra identidad “son necesarias pero no suficientes”. Este planteamiento no es solo aplicable al entorno TIC ya que desde hace un tiempo se nos hace natural en actividades cotidianas como pagar con nuestra tarjeta de crédito o realizar gestiones en la banca on-line. Si nos encontramos cómodos con un nivel de seguridad adicional al simple PIN o contraseña ¿Cómo podemos llevar esta seguridad a nuestros servicios digitales?
Básicamente la principal recomendación se basa en el llamado “doble factor de autentificación”. Básicamente se basa en aumentar el matrimonio usuario/contraseña a un tercer invitado (el doble factor). No solo hace falta una llave para abrir el candado, pongamos que fueran necesarias más ¿Que tipos tenemos disponibles para la autentificación?
Algo que conozco. El ejemplo más sencillo es una contraseña, PIN o similar. Un elemento que sé. ¿Solo lo conozco yo? ¿Es sencillo de averiguar? ¿Uso el mismo en todas las partes?. Las contraseñas quedan almacenadas en los sistemas y si no lo hacemos en aquellos que otorguen plenas confianzas quizá sean “visibles” a terceros. Si usamos la misma en un foro (del tipo que sea) personal y en nuestro correo corporativo estamos exponiéndonos a un riesgo potencial. La ingeniería social está siendo una estrategia en auge para los malotes.
Algo que tengo. Al estilo de las tarjetas de claves bancarias, DNI electrónico o los “token” de seguridad. Un token es un dispositivo (hardware o software) que debo llevar encima para escribir un código numérico aleatorio y cambiante que verifique que soy quien dice ser. La mayoría de los proveedores de servicios (Microsoft, Google, Apple, etc ..) lo ofrecen gratuitamente para proteger la cuenta con la que accedemos a sus servicios de correo, compra en tiendas de aplicaciones, almacenamiento de ficheros etc .. Son servicios gratuitos que nos permiten instalar (gratuitamente) en los móviles (de lo que no nos separamos) el generador de códigos de seguridad. El riesgo es que si perdemos o no tenemos acceso a dicho elemento no podremos autentificarnos. Se permite generar unos códigos a imprimir o guardar para poder recuperar el sistema como contingencia.
Algo que soy. Estamos hablando de parámetros de acceso biométrico. Huellas digitales, iris, voz etc …
Algo que haces. Relacionado con comportamientos de ubicación física, hora o similar. Los propios sistemas (sobre todo los bancarios) están estudiando si a pesar de que el acceso es correcto se está haciendo desde por ejemplo un país extranjero a una hora fuera de las habituales pudiendo llegar a impedir el acceso o llamado a la persona ante un comportamiento ajeno a los “parámetros” habituales de comportamiento.
Doble factor consiste en elegir dos de los tres tipos para acceder a los servicios TIC. Un ejemplo de multi -factor para proteger el acceso a digamos “la cámara de los secretos” sería:
Algo que tengo (tarjeta magnética)+Algo que sé (código de acceso numérico del teclado)+Algo que soy (iris)
No me veo pagando con tarjeta de crédito mientras me leen el iris (de momento) pero ya lo hago con:
Algo que tengo (tarjeta) + Algo que conozco (Pin)
Pedir el DNI no lo englobo en algo que soy por no ser biométrico.
O también al hacer una transacción bancaria:
Algo que conozco (clave acceso) + Algo que tengo (tarjeta de claves/sms al teléfono)
Para nuestra vieja conocida (y puede que de alguien más) contraseña, tenemos amplias opciones para acompañarla y proteger con mayor seguridad nuestra identidad de acceso a los sistemas (personales y profesionales) sobre los que operamos.
En muchos casos son servicios gratuitos y pueden ser de pago al hacerlos más corporativos. El estar haciéndolo ya en otras facetas y teniendo al alcance las soluciones tecnológicas para activar el doble factor nos deja solo para la zona de comentarios de este post ¿qué te impide hacerlo?