Todo sobre trucos y tutoriales de Android

Titan Key vs Google Authenticator: ¿qué elegir para asegurar su vida digital?

Google ofrece dos servicios de autenticación multifactoriales. Si duda entre la aplicación móvil y la clave física para proteger su identidad digital, aquí tiene algo que le ayudará a elegir.

Anunciada hace un año para Estados Unidos, la llave Titán de Google aterrizó en Francia a principios de agosto. Le permite añadir un nivel adicional de protección al acceder a sus cuentas digitales… al igual que Google Authenticator, una aplicación que la empresa Mountain View lanzó en 2010.

Pero, ¿por qué diablos Google ofrece dos productos que sirven para el mismo propósito? Tanto la clave Titan como el Autenticador de Google rellenan el mismo tipo de proceso: autenticación multifactorial («MFA» para la autenticación multifactorial, o «2FA» cuando sólo hay dos factores).

El MFA consiste en pedir al usuario varios datos que le permitan identificarse, en lugar de una simple contraseña. Este es el caso, por ejemplo, cuando nuestro banco nos envía un SMS para confirmar un pago. Si el MFA es siempre mejor que nada, está lejos de ser perfecto dependiendo de las soluciones utilizadas. En el caso de los SMS, no protege contra el phishing de sitios fraudulentos, y los hackers pueden interceptar el SMS o usurpar la tarjeta SIM.

Authenticator y Titan son formas más sofisticadas de MFA, pero cada una tiene sus ventajas y desventajas.

Por qué utilizar Google Authenticator (u otra aplicación TOTP)

Google Authenticator se basa en un algoritmo de probada eficacia de los procedimientos de MFA: Time-based One-Time Password (TOTP), un estándar central del consorcio OATH para la promoción de métodos de autenticación comunes. Todos ustedes ya han tratado con TOTP, que le envía un código de tiempo limitado en un dispositivo de terceros, que luego ingresa al sitio donde desea identificarse.

Como con cualquier buen TOTP, sólo necesita su smartphone para usar Authenticator o una aplicación de la competencia como Authy. No hay necesidad de gastar dinero, es gratis para ambos. La encriptación de extremo a extremo proporciona una resistencia mucho mayor a los ataques que la que permite el SMS. Sin embargo, persisten algunos defectos inherentes al TOTP. En particular, no protege contra phishing . Si el usuario intenta autenticarse en un sitio fraudulento, los hackers sólo tienen que volver a escribir rápidamente sus credenciales (incluyendo el código TOTP) en el sitio real.

El otro problema con Authenticator es que los identificadores se almacenan en un único dispositivo: el smartphone del usuario.Si pierdes tu teléfono, definitivamente perderás tu nombre de usuario y contraseña. Incidentes similares también pueden ocurrir cuando se cambia a un dispositivo más nuevo, si no se tiene cuidado. A continuación, debe iniciar el procedimiento de recuperación de su cuenta de Google.

Otras aplicaciones TOTP, como Authy, evitan este problema manteniendo sus credenciales en la nube, donde se puede acceder a ellas desde múltiples dispositivos. Pero entonces te vuelves más susceptible a los hackers, que pueden tomar el control de la aplicación si consiguen robar el número de teléfono de la víctima (es el mismo tipo de vulnerabilidad que para un MFA por SMS).

Por qué usar una llave Titan (u otra llave U2F)

La llegada del estándar Universal 2nd Factor (U2F) en 2014 ha sido aclamada por la comunidad de seguridad cibernética. Esto permite utilizar como segundo factor de identificación una llave física, conectada por USB o comunicada por NFC. El U2F está en manos de la Alianza FIDO y fue desarrollado conjuntamente por Google y la start-up Yubico, ahora conocida por su identificación YubiKey.

Google ha tenido su propio programa de Protección Avanzada durante unos años, ofreciendo compatibilidad U2F para sus servicios, pero es sólo ahora que está ofreciendo su propia versión de la YubiKey en forma de llave Titan.

El kit de llaves Titan cuesta 55 euros en Francia. Por este precio, la resistencia al phishing está garantizada, ya que el sitio (¡real!) debe ser capaz de verificar que la clave está físicamente presente. Este fue el punto de venta de Google cuando lanzó su producto el año pasado. Usarlo es probablemente más fácil que usar Authenticator, ya que sólo necesita conectar la llave a su dispositivo y presionar un botón. No hay necesidad de copiar un código en la pantalla durante un tiempo específico.

El kit contiene dos llaves, una principal y otra de repuesto. Todavía no es demasiado grave perder uno, pero si pierde ambos, debe pasar por el cuadro de recuperación de cuentas. En general, con una llave Titan, usted sólo corre el riesgo de perder el acceso a sus cuentas si es muy directo; mientras que con una aplicación TOTP, esto le ocurrirá a usted, especialmente si su teléfono es robado.

Las claves U2F son generalmente más seguras y eficientes que las aplicaciones TOTP, aunque tampoco son inmunes a las brechas de seguridad. El pasado mes de mayo, Google tuvo que retirar algunas de sus claves Titan debido a una vulnerabilidad en la función Bluetooth.

Deja tu comentario!