Doble factor Autenticación: +seguridad +protección

tech-apps
,
1

El doble factor de autenticación (ver glosario) es una capa de seguridad extra que brinda un elemento adicional de protección al acceder a las cuentas.
Tiene diversos formatos:

  • un token generado en la nube (por ejemplo google authenticator)
  • un SMS enviado al celular
  • una clave publica que se almacena por única vez en un servidor y se comparte con aquellas aplicaciones validadas
  • o algo tan simple como un código enviado por email.

En la mayoría de los casos, al momento de ingresar a una aplicación, se solicita usuario/clave + código 2-FA (justamente el segundo factor que se genera en alguno de los formatos antes descriptos).

Criptonautas cuenta con el 2FA para acceder a tu cuenta. Para habilitarlo (opción mas que recomendada) podes seguir los siguientes pasos:

  1. Ir a perfil >> usuario >> Preferencias

    paso 1
    paso 11280×720 86 KB

  2. Una vez allí presionas en Seguridad >> gestionar la autenticación de dos factores

    paso 2
    paso 21280×720 85 KB

  3. Tipear la clave de acceso al foro Criptonautas, presionar continuar. Escribir un nombre de autenticación (el que quieras) y presionar en + Añadir autentificador

    paso 3
    paso 31280×720 90.3 KB

  4. El siguiente paso es instalar en tu celu (si es que no la tenes) el Authenticator de Goo***.

    paso 4
    paso 41280×720 58.4 KB

  5. El ultimo paso es abrir en el celu la app de Authenticator, presionar el botón (+) e indicar que vas a crear la clave con QR. Eso abre la cámara y tenes que escanear el QR que te presenta la pagina de seguridad del foro.
    Una vez creada la clave van a aparecer 6 números cambiantes de a 30 segundos o 1 minuto, que tenes que tipearlos en el campo código del formulario anterior y presionar “activar”.

Fin del proceso.

Cuando quieras ingresar al foro, si la sesion se ha cerrado o si lo haces desde otro dispositivo, te va a pedir el usuario, la clave y el codigo del G*** Authenticator para liberar el acceso.

Principales ventajas

  • Si alguien hackea tu cuenta, no va a poder ingresar sin el código de seguridad de tu celular
  • Esta robustez te va a permitir en un futuro acceder a ciertos temas que requieren ese nivel de seguridad dentro del foro
  • Un plus es, si te pasa como a mi que no sabia de la existencia del 2FA en mis aplicaciones, esto te sirve para aprender y securizar todas las demas aplicaciones como el acceso a redes sociales, a email y otras tantas que lo permiten ya como un standard.

Ojala sume. :love_you_gesture:

Dejanos tus comentarios sobre la utilidad de este instructivo y si pudiste hacerlo sin problemas. Recuerda que todos estamos aprendiendo, así que si en algo se puede mejorar, por favor compartilo y lo tendremos en cuenta.

10 Me gusta
2

Excelente info Claudio!!!
Aprovecho y consulto: que pasa si pierdo o cambio el celu? Se puede cambiar la autenticacion? Va asociada a la cuenta de google o al aparato?
Esta info puede sumar para prevenir o reaccionar ante dicha situacion.

3

En ese caso Google no parecería ser la mejor opción, sugerimos alternativas en posteos previos (personalmente uso Aegis).

Cada app tiene sus métodos de recuperación y almacenamiento. Sin backup no suele ser seguro, porque es muy probable que el celular se vea extraviado, se rompa o lo que sea.

Pero con backup es un must como un gestor de contraseñas.

4 Me gusta
4

Gracias!

Voy a revisarlo. GA no me gusta, en parte por lo del backup (perdes celu y tenes que empezar todo de vuelta) y en parte porque haces click en GA y accedes… zero password o barrera.

Probaré Aegis y les cuento.

2 Me gusta
5

En mi caso que utilizo iOS tengo Raivo y la verdad estoy conforme, a pesar que no puedo utilizarlo con todas las aplicaciones.

Opciones para recuperar 2FA

  1. Cuando emparejas el 2FA con la aplicación o servicio te muestra un código QR a través de tu clave secreta, y también da códigos de copia de seguridad. (Guardarlos de manera segura).

  2. Exportar desde el menu del 2FA un Archivo de copia de seguridad (Proteger el archivo con un password) y guardarlo en la computadora o disco duro.

  3. Sincronizar con la nube tu cuenta, te da la posibilidad de que otros códigos nuevos vuelvan a aparecer automáticamente, al restablecer tu cuenta en otro dispositivo.

  4. En caso de no utilizar ninguno de estos tres métodos, se debería comprobar la opción para restaurar el servicio o ponerse en contacto con el proveedor para deshabilitar la cuenta.

1 me gusta
6

Respuesta simple: se vincula con el aparato (lamentablemente). Es decir: fuera celu, fuera claves.

Ese es un problema si el evento es robo o extravío (obviamente no planificados).

Ahora bien (lo digo con conocimiento de causa porque lo vivi). Cambias celu. Y tenes acceso al anterior. Lo que podes hacer es migrar las claves. Como?

  1. abrís GA, pantalla principal
  2. presionas los 3 puntitos y dice “transferir cuentas”
  3. elegis “exportar cuentas”
  4. te deja elegir las que queres exportar (las tildas)
  5. de cada cuenta que marques genera un QR
  6. desde el OTRO celu entras en GA y escaneas dicho QR y listo.

Mientras lo escribía pensaba en todos los huecos de seguridad que tiene este proceso. Ni hablar si te roban el equipo o se rompe y queda inaccesible.

Próximo paso: probar Aegis. (continuará en breve…)

3 Me gusta
7

Aegis es open-source y permite exportar las claves de manera cifrada, segura.

Lamentablemente ni Google ni Apple son en esencia criptonautas, porque no valoran ni respetan nuestros datos ni privacidad (y lucran con eso).

Aegis es super simple, clara e intuitiva. Lo único que le faltaría para destruir el sistema de Google es transformarse en un producto empresarial, espero que nunca lo haga :grimacing:

1 me gusta
8

Mi experiencia con AEGIS (se baja de link)

Aclaro que tengo Android v13 en un Samsung. Y tengo GA instalado con 13 claves ya funcionando.

  1. bajé del Google Store la app de Aegis Authenticator. Y en 30 segundos estaba instalada
  2. clave. Es lo primero bien diferente de GA (Google Authenticator) y es que tenes que generar una clave para ingresar. No un usuario y clave, sino solo una clave. Esa clave es para acceder al autenticador cada vez que queres un código.

Aclara: si perdes la clave, perdes el acceso y no podes recuperarla. Asi que no la olvides.

  1. Listo. Ingresé.
  2. Ahora toca importar claves del GA. Y me pregunto como hacerlo? opciones:
  • importar archivo con claves (pero GA no genera un archivo).
  • importar con QR. Bien ahi, pero tengo un celular y quiero traspasar cuentas desde dos APPs en el mismo equipo. Si genero un QR ¿como lo escaneo?

Pensamiento lateral: tengo una compu con cámara. Elijo desde GA exportar a QR y saco una foto con la cámara.
Cambio de app y desde Aegis presiono el simbolo + y elijo escanear con QR. Escaneo la foto en la compu. (aclaro que mi cara seria es porque hace mucho calor)

WIN_20230307_14_41_01_Pro
WIN_20230307_14_41_01_Pro1280×720 65.6 KB

  1. El problema con el que me encontré es que GA genera los QR solo de a 3 cuentas (o al menos eso me pasó). Así que hice una iteración del procedimiento, seleccionando de a tres cuentas y listo.

En 5 minutos migré todo.
Primera evaluación:

  • tiene contraseña de acceso a las claves :muscle:
  • podes configurar tema (modo oscuro que me gusta) y nivel de compactación de los textos (vista comoda) :smile:
  • podes armar grupos con las claves. Esto es agruparlas según funcionalidad y abrir solo el grupo que necesitas :muscle:
  • podes documentar mejor las claves: cambiar su titulo, agregar datos del emisor, una nota interna y el grupo de pertenencia. Esto ordena tremendamente la info :star_struck:
  • y por último lo mas importante: no KYC, no tuve que crear una cuenta para usarlo.

Como seguir:

  • urgente desinstalar GA. Si queres proba que Aegis funcione con alguna app primero.
  • salvar la bóveda a algún json (formato de texto enriquecido) para dejarlo de backup (por si te roban el celu y evitar así la burocracia de abrir de nuevo todos los tokens desde las distintas apps=
  • abrir alguna bebida que te guste, y compartir tu experiencia con la comunidad a continuación :heart_eyes:

Te sirvió? Sumas algún tip? la estas utilizando? :love_you_gesture:

8 Me gusta
9

Excelente!!! Gracias Claudio por toda esta info!!!, en breve hare lo mismo, inclusive voy a usar un celu que esta en casa en desuso para achicar posibilidades de robo/extravio.

2 Me gusta
10

Aguante, gracias por la data y esa foto rockstar haha bien ahí!!

Esto tiene acceso eventual a todo, si de repente se descubre algo que rompa cifrados, entonces está bueno usar siempre la vanguardia.

Y confiar en proyectos open-source con mucha auditoría (personas que usen y trabajen sobre el proyecto).

La ventaja del código abierto frente al cerrado es la misma ventaja que vemos en Criptonautas, al hacer las cosas de manera transparente o a escondidas.

Tiene que ver con un propósito, ese proyecto está comprometido con la privacidad y la seguridad de la mayoría de las personas.

Y eso a la Matrix que tiene fines meramente comerciales, le queda enorme y muy distante, porque es más fácil hacer dinero vendiendo datos y marketeando.

Aegis va muy bien con Bitwarden, pero en principio sería ideal no intentar hostear sino usar las apps y sus backups así como se muestran para la mayoría.

Profundizar en niveles de seguridad implica una responsabilidad, como todo. Entonces mejor adaptarse sin hostear, y luego aprender a hacerlo (si lo evaluamos como algo necesario)

Abrazo para todos!!

1 me gusta
11

Gracias Claudio!! Abrazo

1 me gusta