Con el reciente caso de
el robo de fotos desde iCloud,
parece que los usuarios han empezado a usar(o al menos ya saben que
existe) la autentificación en dos pasos. Esta medida de
seguridad,que
nos permite saber cuando alguien intenta conectarse a nuestra cuenta
desde Sri Lanka y se lo impide, debería activarse en todas nuestras
identidades digitales,siempre que sea posible.
Pero, ¿qué es la doble
autenticación? Cuando nos logueamos en algun
sitio web,suele ser mediante un nombre de usuario y una contraseña. El
nombre de usuario puede variar desde el correo que hayamos usado al
registrarnos o un nickname que usemos en el portal. ¿Que significa esto?
Que si alguien quiere acceder a nuestra cuenta tiene que saber nuestro
nombre de usuario y nuestra contraseña.
El problema de esto es que la seguridad de nuestra cuenta se basa en que
nadie averigüe nunca ambos campos...y ahí es donde las
responsabilidades se dividen. Si nuestra contraseña es 1234 o una
contraseña muy trivial,será mas fácil averiguarla que si tuvisese 25
carácteres. Por otro lado, si podemos probar
contraseñas sin
impedimento.... Un ataque de fuerza bruta consiste en intentar
combinaciones de usuario-contraseña hasta que se consigue entrar.
La solución a estos ataques es controlar el número de intentos que
realiza un usuario(o una IP) al intentar loguearse. O a partir de un
número X de intentos aumentar el desafío y además de las credenciales
hay que introducir un
captcha,que al fin y al cabo a todos se nos
va la memoria y si no nos acordamos de la contraseña que acabamos de
cambiar,pues no es cosa de quedarnos sin cuenta.
Bastante simple no? Pues aun así ha habido casos en Wordpress,
distintos foros por internet e incluso iCloud dónde por no controlar
correctamente dichos ataques, se ha conseguido el login de numerosas
cuentas.
Asi que hay que hacerse a la idea de que,tarde o temprano,no serás el
único en saber tu par usuario/contraseña. Y ese alguien que lo sepa se
podrá hacer pasar por ti,entrar en tu cuenta del banco,ver tus
correos...
La doble
autenticación se basa en la siguiente fórmula:
Lo que sabes AND Lo que tienes -> Login con éxito
¿Qué significa "lo que tienes? Algo que nadie más que tu tenga o
pueda obtener. Muchos portales de internet transforman esta idea en un
código que recibes por SMS en el momento en el que alguien se intenta
ha conseguido "conectarse" al portal con tus credenciales. Y digo
"conectarse" porque después de autenticarse se le pedirá el código que
tú acabas de recibir. A no ser que tengan tu teléfono móvil (o este ya
este comprometido) no podrán conectarse sin usar este código.
Y si intentan un ataque de fuerza bruta al código? A Google,despues de
buscarle las cosquillas me ha puesto un captcha,además de que cambió el
código. Llega un momento en el que hay que cerrar la pestaña e intentar
loguearse de nuevo.
¿Qué ha pasado con iCloud?
Si conocemos el Apple ID de un usuario e intentamos autenticarnos una y otra vez, Apple no nos banea,nos
ayudan a restaurar nuestra contraseña, mediante un e-mail a nuestro correo de reserva o a través las ya
imposibles de averiguar famosas
preguntas de
seguridad. Tambien nos preguntarán nuestra fecha de
cumpleaños, datos altamente díficiles de conseguir para alguien que no
tenga Internet y/o nos conozca un mínimo. Si nos equivocamos dos veces
en alguna de las pruebas pasará se avisa y a la tercera se bloquea.
Pero esto sólo pasa cuando intentamos gestionar el ID de Apple. Desde
Windows, usando el panel de iCloud para descargar nuestros archivos de
la nube, no se controla el número de intentos, por lo que es un prueba y
error hasta que tus fotos (privadas o no), documentos, y lo que tengas
subido, acabe en la red.
Hubo un tiempo en el que fue así. Ahora,tras un número de intentos
fallidos, Apple te bloquea la cuenta y te conduce a su servicio iForgot,
donde nos dan la oportunidad de recuperar nuestra contraseña mediante
un mensaje de correo o preguntas de seguridad.
Antes de ayer fue la keynote de Apple y los chicos de Cupertino han
prometido mejoras en la seguridad de sus productos. Mientras acordaos de
activar la doble autenticación y tened cuidado con lo que subis a la
nube.
Fuente:
Flu-Project
