Lisandro Pardo
Con todos los problemas de seguridad que se han reportado en los últimos tiempos, tanto usuarios como compañías están explorando diferentes métodos para proteger cuentas y servidores. Uno de los métodos más recomendados es el de la verificación en dos pasos, pero ahora Google anunció la posibilidad de utilizar una llave USB especial, generando así una capa extra de protección.
La verificación en dos pasos básicamente requiere que el usuario ingrese un código adicional (creado en el momento y con validez para un solo uso), recibido a través de un smartphone o un teléfono móvil, antes de obtener acceso a su cuenta. Dicha verificación puede resultar incómoda, pero al final, todo proceso de seguridad agregado cae en el mismo grupo. Ahora, ¿es necesario? Lamentablemente, la mayoría de los usuarios conoce la utilidad de la verificación en dos pasos cuando es demasiado tarde. También hay que considerar qué tan importante es la cuenta para una persona, y qué clase de servicios vinculados tiene. En el caso de Google, activar la verificación es muy sencillo, pero aquellos que no están del todo convencidos, o que creen que enviar un código al smartphone es una manera débil de proteger una cuenta, tienen otra alternativa.
En esencia, se trata de una llave USB compatible con el estándar U2F de la Alianza FIDO (en la que participan Google, Microsoft, PayPal, Lenovo y Visa, entre otros). Al ingresar en su cuenta, en vez de tipear el código recibido vía smartphone, el usuario conecta esta llave a un puerto USB, y presiona su botón cuando Google Chrome lo indica. La primera ventaja de la llave USB es su protección contra phishing, ya que sólo funciona con los portales legítimos de Google, y no con las imitaciones que buscan robar información. La segunda es obviamente quitar al smartphone de la ecuación. Al igual que cualquier otro pendrive, esta llave USB no necesita baterías o conexión móvil para funcionar, y sé de muy buena fe qué tan desagradable puede ser la espera de un SMS con la red del proveedor caída.
Los puntos negativos de la llave USB están limitados a dos preferencias personales muy importantes. Si sólo accedes a la Web con dispositivos móviles, resulta imposible conectar la llave, y al mismo tiempo, esta verificación física adicional sólo es compatible con Google Chrome. En lo personal, esto último es lo que más me molesta. Si el U2F es un estándar, al menos debería funcionar con Internet Explorer (Microsoft “es” parte de la alianza, después de todo). ¿Cuál es el precio de estas llaves? El promedio es de unos 18 dólares. Yubico es uno de los proveedores más importantes, aunque hay varias opciones flotando en la Web. Aún así, Google reconoce que la adopción será lenta. Todavía se deben conocer más detalles técnicos (por ejemplo, qué pasa si pierdo la llave y cómo la reemplazo), pero hasta aquí parece una buena idea.
One Comment
Leave a Reply