Lisandro Pardo
Desde hace tiempo el gigante de Mountain View está tratando de convencer a sus usuarios de activar la llamada verificación en dos pasos, con el objetivo de mejorar la seguridad de sus cuentas. El procedimiento tradicional requiere la intervención de un dispositivo móvil, pero existe otra opción: La llave USB. Google habilitó el soporte para llaves USB en octubre de 2014, y con más de dos años de pruebas internas, la compañía llegó a la conclusión de que son superiores a otras soluciones similares.
Proteger nuestras cuentas es crítico, pero la seguridad informática, o mejor dicho, la «buena» seguridad informática, requiere parámetros que no todos los usuarios están dispuestos a seguir. De ese modo encontramos contraseñas fáciles y repetidas, sesiones abiertas en ordenadores desconocidos, manipulación de datos sensibles en redes sin cifrar, y un largo etcétera. Una buena estrategia para mejorar esta situación es habilitar la verificación en dos pasos. Si cuentas con un teléfono móvil, puedes recibir los códigos adicionales vía mensaje de texto, y en caso de tener un smartphone compatible, existe la posibilidad de generar los códigos con una app local (asumiendo que el servicio la ofrezca en primer lugar). Sin embargo, en Google están convencidos de que existe algo superior, y se trata de un concepto clásico: La llave USB.
Google desarrolló un estudio que se extendió por más de dos años y alcanzó a 50 mil empleados de la compañía para evaluar la utilidad y la robustez de las llaves USB frente a otros métodos de verificación en dos pasos, como los antes mencionados smartphones, y las smart cards. Las llaves se basan en el estándar abierto USF (Universal Second Factor), que está recibiendo un soporte cada vez más amplio por parte de terceros (Google, Opera, Dropbox, GitHub, y Mozilla a través de una extensión aparecen al tope de la lista). Y sus resultados colocaron a las llaves USB por arriba del resto. Los dispositivos móviles pueden ser comprometidos con la ayuda de malware, se quedan sin energía o sin señal, y los mensajes de texto convencionales no están cifrados. Por otro lado, las smart cards requieren lectores especiales y controladores que garanticen su funcionamiento en ciertos entornos.
En cambio, las llaves USB se conectan a cualquier puerto disponible, no requieren energía externa, sus firmas criptográficas son extremadamente robustas, poseen un precio bastante bajo (a partir de nueve euros), se llevan como si fuera una llave extra, y lo más importante: Son un complemento. Ningún método de protección es perfecto, por lo tanto, debemos tratar de colocar todas las barreras posibles en el camino, y de acuerdo a Google, las llaves USB están entre las mejores.
