Imagine un mundo en el que las personas puedan copiar fácilmente la llave de su puerta principal, simplemente observando que la usa varias veces. O donde las personas solo usan unas pocas llaves de la puerta delantera, para que alguien que intente irrumpir en su casa pueda adivinar qué llave está usando..

Además de eso, está utilizando la misma llave de la puerta delantera para su automóvil, para abrir su caja fuerte y para comenzar a trabajar. ¿Por qué estás siendo tan relajado con tu llave? Protegerlo!

Esto es exactamente lo que está haciendo cuando usa las mismas contraseñas para iniciar sesión en WoW, Steam, Origin, Google, PayPal, su banco, Windows, ese foro del que no puede hablar. La lista continúa. El peor de los casos es usar 'contraseña' como contraseña o como favorito, como lo revelan las encuestas, '123456'.

Existen trucos y tácticas para crear contraseñas estáticas más seguras, pero no importa cuánto tiempo, cuán complejo, qué tan imposible sea adivinar una contraseña, una contraseña estática siempre es vulnerable a muchos tipos de ataques..

Dejando a un lado los ataques de fuerza bruta y otros trucos, todavía hay keyloggers de malware, alguien que lo observa, un ataque de ingeniería social o alguien que encuentra una nota post-it que tiene la contraseña escrita..

Sumando factores

Estos tipos de infracciones regulares han hecho que los servicios, por lo general donde se trata de dinero, busquen formas de reforzar la contraseña, también conocida como autenticación de usuario. Esta área de seguridad se conoce como autenticación de múltiples factores, o más comúnmente de dos factores, y se refiere al usuario que tiene que probar quiénes son de dos o más formas.

La contraseña estática tradicional es un sistema de un solo factor: ingrese su nombre de usuario, demuestre quién es usted con una contraseña secreta y está dentro. El defecto más evidente es que si un atacante puede aprender la contraseña, por medios justos o con faltas, Puede obtener acceso sin restricciones a la cuenta..

Un enfoque de dos factores requiere el nombre de usuario habitual y la contraseña estática como primer factor, pero luego un factor de autenticación adicional que es una de estas tres cosas: algo que tiene, como un dispositivo, algo que es, como una huella digital o algo Ya sabes, como un pin más u otra respuesta de desafío.

La solución que la mayoría de las empresas está optando es la primera, algo que usted tiene, y la utilizan para proporcionar lo que se conoce como una contraseña de un solo uso (OTP). Estas son contraseñas que se utilizan sólo una vez. Todo el sistema depende de las contraseñas que se generan sobre la marcha utilizando un algoritmo criptográfico; estos pueden ser basados ​​en el tiempo, parte de una secuencia pseudoaleatoria o en base a un código aleatorio suministrado.

Arreglarse

La parte genial de esto es que con el uso generalizado de los teléfonos inteligentes, las empresas pueden usar su móvil como segundo factor, entregando la contraseña de un solo uso (OTP) a través de un SMS, correo electrónico, mensaje push o una aplicación dedicada. En general, esto facilita que tanto usted como la empresa implementen el sistema OTP..

Configurar un sistema tan seguro es fácil: se registra, se envía una clave secreta a su teléfono y, a partir de ese momento, solo su teléfono podrá generar la contraseña de una sola vez correcta. Como puede imaginar, incluso si alguien tiene su nombre de usuario y contraseña estándar sin el dispositivo, nunca podrá iniciar sesión. Ni siquiera es posible descifrarlo por fuerza bruta ya que la OTP cambia con el tiempo.

Dichos sistemas ya han sido implementados por una gran cantidad de servicios en línea de alto perfil, generalmente como un sistema de seguridad opcional, pero a menudo con bancos como un sistema obligatorio, como Google, Facebook, Blizzard con Mundo de Warcraft, PayPal y HSBC, por nombrar solo algunos. Una vez en su lugar, siempre necesitará la adición de la OTP suministrada a través de su teléfono o cualquier dispositivo de verificación que se haya suministrado..

Desventajas

Por supuesto, hay desventajas a esto. Si está bloqueado sin su dispositivo de verificación, entonces no hay acceso para usted. En el caso de su teléfono móvil, esto sería menos probable, ya que es algo que llevará consigo..

Sin embargo, si la OTP se entrega en vivo y está en un área sin señal, nuevamente no hay OTP para usted. Muchos sistemas utilizan un código generado localmente, por lo que la señal no es un problema. Lo que es un problema es si su teléfono es robado o perdido. Hay sistemas en marcha para lidiar con eso, pero una vez más, esto puede debilitar lo que de otro modo sería un sistema seguro..

También hay ataques de intermediarios que utilizan la manipulación social para extraer la OTP del usuario, bajo la apariencia de una prueba del sistema, por ejemplo. Aun así, la ventana de oportunidad para que un atacante explote las vulnerabilidades en el sistema se reduce de forma masiva, hasta tener que robar el dispositivo de autenticación, engañarlo para que entregue una OTP en vivo o subvierta el proceso de recuperación que generalmente provoca que se envíe un mensaje de advertencia a su cuenta de correo electrónico y dispositivo de autenticación.

Protector de vapor

Steam ha reforzado su seguridad en relación con las cuentas y los procedimientos de inicio de sesión, pero no requiere ningún dispositivo de autenticación adicional. Entonces, ¿qué tan seguro es eso?

Hemos hablado mucho sobre contraseñas de un solo uso y autenticación de dos factores: resulta que Steam Guard es un sistema de dos factores, pero el segundo factor es su PC, que es algo que tiene.

Usando una combinación de configuración de hardware, si Steam detecta que alguien intenta iniciar sesión en su cuenta en un sistema no autorizado, se envía un OTP a su cuenta de correo electrónico nominada, que luego debe ingresarse antes de que Steam permita el acceso. Esto mejora la seguridad, ya que requiere que el atacante tenga información adicional, incluido saber qué cuenta de correo electrónico usa, además del nombre de usuario y la contraseña para eso.

Siempre y cuando no utilice la misma contraseña de Steam y correo electrónico, la seguridad se mejora a pesar de que la confianza en un correo electrónico personal para entregar la OTP necesaria es la debilidad del sistema..

Al igual que con la mayoría de estos sistemas, Steam Guard es completamente opcional, al menos en esta etapa. También se puede activar o desactivar y le permite desautorizar a todos los demás equipos que no sea el que está utilizando actualmente. Esto proporciona un buen nivel de flexibilidad, ya que es algo que puede habilitar cuando sabe que viajará lejos de casa. Una vez que regresa, en caso de que alguien intentara secuestrar cuentas, puede desautorizar deliberadamente todos los sistemas que ha usado.

Cómo asegurar su cuenta WoW con un autenticador

1. actualización de seguridad

¡Rápido a Battle.net! Debería ver a la izquierda un encabezado de Seguridad de Cuenta; haga clic en el enlace Gestionar opciones de seguridad. Blizzard ofrece dos opciones: un llavero de pago o una aplicación gratuita basada en teléfono. Este último es compatible con Android, iPhone / iPad, BlackBerry y Windows Phone 7. Entonces, descargue!

2. ser verificado

Haga clic en Adjuntar autenticador y, si aún no lo ha hecho, primero deberá verificar que su correo electrónico actual sea válido. En este punto, deberás volver a tu teléfono y comenzar a configurar la aplicación Battle.net correctamente. Le proporcionará una clave y un código de acceso que se ingresan en Battle.net.

3. Obtener juegos

Y tu estas listo. La aplicación de teléfono y su cuenta ahora están vinculadas. La aplicación produce códigos basados ​​en el tiempo que se correlacionan con cuando tienes que iniciar sesión en tu cuenta de WoW. Sin el teléfono con la clave correcta, no podrá iniciar sesión en la cuenta. Así que es tan seguro como las casas..

------------------------------------------------------------------------------------------------

Publicado por primera vez en formato de PC número 259

¿Me gusto esto? Entonces echa un vistazo a las mejores actualizaciones de PC para los jugadores

Regístrese para recibir el boletín gratuito de TechRadar's Week in Tech
Obtenga las principales historias de la semana, además de las revisiones más populares enviadas directamente a su bandeja de entrada. Regístrese en http://www.techradar.com/register

Siga a TechRadar en Twitter * Encuéntrenos en Facebook * Agréguenos en Google+