[FEATURE] Desafío 2FA para la comunidad

soporte
1

:bulb: [FEATURE] Desafío 2FA para la comunidad

Qué hay que hacer

Desarrollar lo propuesto por la AI desde los prompts que le envié hace unos minutos:

https://comunidad.criptonautas.co/t/wip-2fa/4026

Y completarlo con lo que veníamos trabajando internamente con @Eyder_C y el resto del @team.

Qué herramientas usamos?

  • Nextcloud para hablar en audio, aunque también tenemos grupos en el foro en voluntarios que se ofrezcan a participar.
  • Tally.so para las encuestas, pero también tenemos un sistema nativo en desarrollo (por ahora no funcional).
  • Sistema de e-mail hosteado localmente para el envío de los e-mails, que correría por mi cuenta una vez avance el resto.

Queres hacerlo?

Responde este post así te asignamos el ticket y el grupo con @moderadores y @Criptonautas

De esto se tratan los desafíos :orange_heart:

2

Tomo el desafío.

1 me gusta
3

Realice las investigaciones correspondientes, descubriendo que no tenía claro varios de los puntos consultados. Ojala lo que vuelco a continuación ayude a la comunidad a entender mejor de que se trata.

debemos usar 2FA en nuestro celular, y por qué no debe ser el SMS?

2FA o segundo factor de autenticación es una manera de proteger el acceso a los sitios web y aplicaciones. En este link publicamos como activar 2FA en el foro.

2FA crea claves que pueden variar cada 30 o 60 segundos. Se lo llama también TOTP (Time One Time Password). Generalmente son códigos que se crean utilizando un algoritmo basado en tiempo ver link para más detalles.

porque en el celular?

Hay varios motivos, según creo. Suma tenerlo en el celu porque

  • modelo de trabajo móvil, exige que tengas tus claves contigo y tenerlas en una PC no es práctico

  • ingreso de virus. Si bien hay virus para Android y IOS (un poco menos) comparado con Windows (e incluso linux) hay mucho menos. Tal vez se amas común los troyanos que utilizan ciertas aplicaciones no oficiales. Si te cuidad de eso, es mas seguro que un PC

por que no debe ser el SMS?

Un código por SMS envía un OTP (one time password) a tu celular por SMS a demanda. Asi, con ese código accedes a las aplicaciones. Si estas por la calle y roban tu celular, no solo se llevan el activo sino el poder para acceder a todas tus claves.

Lo ideal es tener un SMS + TOTP, aunque (en mi opinión) un TOTP con clave (como puede ser AEGIS) es lo mas seguro. Si te roban el celu donde tenes instalado el generador de TOTP, sin esa clave no se puede usar.

Menciona 3 alternativas open-source que sean multi-plataforma

Hay muchas aplicaciones y desarrollos que se basan en esta tecnología para entregar el TOTP. Menciono algunos.

este no es un ranking de las mejores herramientas. Para esto hay que hacer un face off que no era la idea en este artículo. Aclaro que en mi caso utilizo AEGIS porque no solo es OpenSource sino que tiene clave de acceso para acceder a los OTP lo cual mejora mucho la seguridad especialmente si te roban el celu y acceden a él.

multiplataforma

  • FreeOTP link (IOS | ANDROID)

  • 2FAS link (IOS | ANDROID)

  • AuthPass link (IOS | ANDROID | WINDOWS | MAC)

monoplataforma - bien rankeados

Y si bien se pide multiplatform, agrego algunos que están muy bien rankeados

  • Aegis Authenticator - 2FA App link (ANDROID)

  • Tofu link (IOS)

  • andOTP - OTP Authenticator link (ANDROID)

la diferencia entre FIDO y U2F para quienes prefieran usar hardware

** Que es FIDO? **

Fido es un standard. Fido es Fast Identity Online fue creado por una alianza entre múltiples empresas: Google, Facebook, Amazon, Microsoft y decenas mas, que se juntaron para crear un standard que ayuda a proteger los accesos online.

Lo principal en este protocolo es el dispositivo que se usa como autenticador, donde se agregan los elementos criptográficos necesarios para habilitar el acceso. Estas claves nunca son almacenadas por los servicios para proteger su privacidad. Lo interesante es que este standard busca algo que sea seguro y práctico de utilizar.

FIDO actúa como un certificado que garantiza el cumplimiento con ciertos estándares.

** Que es U2F? **

Universal 2nd Factor, U2F, es una evolución de los sistemas de doble autenticación convencionales que mejora notablemente la seguridad y fiabilidad de la doble autenticación a la vez que la hace mucho más rápida y sencilla para los usuarios. A diferencia de los otros sistemas de doble autenticación que están basados en software, éste está basado en hardware y, al ser estándar, podemos encontrar dispositivos U2F que cuenta con certificación FIDO.

U2F es un estándar de autenticación abierto que utiliza una clave para múltiples servicios. Simplifica y eleva la seguridad proporcionada por 2FA (autenticación de dos factores), ya que no se necesitan controladores ni software cliente.

La autenticación universal de segundo factor hace referencia a un dispositivo independiente que contiene una clave secreta adicional necesaria para iniciar sesión en tu(s) cuenta(s) digital(es). En lugar de introducir un código determinado (OTP), basta con conectar un dispositivo como segundo factor.

** conclusión **

FIDO es un standard de acceso, mientras que U2F es el dispositivo que con su sola presencia (generalmente un USB físico) al conectarlo garantiza el acceso a una aplicación.

Si te suma, dejá tus comentarios o un simple like. :love_you_gesture:

5 Me gusta
4

Muy buen post Claudio. Suma mucho para los que no la tenemos tan clara…
Yo actualmente estoy con Authy que es multiplataforma pero no es open source. Asi que seguro voy a probar Aegis que si lo es…

2 Me gusta
5

Buenísimo Claudio!
Yo empecé usando Authy y fui migrando a Aegis.
De momento cero problema y da un poco más de tranquilidad tener un doble factor de seguridad.

6

En este post, discutiremos brevemente qué es la autenticación de dos factores (2FA), FIDO y U2F, y presentaremos tres alternativas open-source populares y valoradas para mejorar la seguridad en línea.

2FA: Autenticación de dos factores

La autenticación de dos factores (2FA) es una forma de proteger el acceso a sitios web y aplicaciones al requerir dos formas de verificación.

Un ejemplo común de 2FA es el uso de contraseñas de un solo uso basadas en tiempo (TOTP), que cambian cada 30 o 60 segundos.

Estas claves se generan utilizando un algoritmo basado en tiempo.

¿Por qué no usar SMS como 2FA?

Usar SMS como 2FA implica recibir un OTP (contraseña de un solo uso) a través de un mensaje de texto. Si alguien roba tu teléfono, no solo tendrán acceso físico al dispositivo, sino también a todas tus contraseñas enviadas por SMS.

Por lo tanto, es más seguro utilizar aplicaciones de autenticación que generen TOTP o combinar SMS con TOTP para una mayor protección.

FIDO: Fast Identity Online

FIDO es un estándar creado por una alianza de empresas como Google, Facebook, Amazon y Microsoft para proteger los accesos en línea. El enfoque principal de FIDO es el dispositivo autenticador, que contiene los elementos criptográficos necesarios para habilitar el acceso. Estas claves nunca se almacenan en los servicios para proteger la privacidad del usuario.

U2F: Universal 2nd Factor

U2F es un estándar de autenticación abierto que utiliza una clave para múltiples servicios. Mejora la seguridad y la fiabilidad de la autenticación de dos factores al basarse en hardware en lugar de software. La autenticación universal de segundo factor se refiere a un dispositivo independiente que contiene una clave secreta adicional necesaria para iniciar sesión en cuentas digitales.

Alternativas open-source multiplataforma

  1. FreeOTP: Disponible para iOS y Android.
  2. 2FAS: Disponible para iOS y Android.
  3. AuthPass: Disponible para iOS, Android, Windows y Mac.

Alternativas open-source monoplataforma bien valoradas

  1. Aegis Authenticator - 2FA App:ponible para Android.
  2. Tofu: Disponible para iOS.
  3. andOTP - OTP Authenticator: Disponible para Android.

Conclusión

FIDO es un estándar de acceso, mientras que U2F es el dispositivo que garantiza el acceso a una aplicación al conectarlo, generalmente en forma de un USB físico.

La implementación de 2FA, FIDO y U2F puede mejorar significativamente la seguridad en línea y proteger la privacidad del usuario.

Evitar el uso de SMS como 2FA y optar por aplicaciones de autenticación o soluciones basadas en hardware puede proporcionar una protección aún mayor.

7

To-Do (pendiente)