Cada vez implica más riesgo elegir una contraseña para todos los servicios y aplicaciones que usamos a diario: la probabilidad de que accedan a nuestros datos personales está patente. Quizá no sea lo mismo que alguien obtenga nuestros teléfonos y nombres completos a que tengan acceso a nuestra cuenta bancaria, pero siempre conviene implementar el máximo de seguridad en el proceso de login. De ahí que la autenticación en dos pasos se haya tornado tan popular.
Disponemos de un sistema de acceso en el que no solo hay que conocer la clave y el usuario, también dar la autorización en un segundo paso, tras escribir la contraseña. Este gesto, que en un principio podría considerarse muy seguro, está bajo la mirada de atacantes, especialmente aquellos que han visto en los SMS una puerta de entrada para sus fechorías. Así que a las empresas les toca mejorar el sistema de doble factor, algo que está haciendo Apple: sus ingenieros han propuesto un sistema de confirmación por SMS que busca ser más seguro.
Estándar para los códigos de un solo uso
El proceso para entrar en una cuenta que utiliza el sistema de autenticación en dos pasos suele ser tal que así: el usuario escribe su nombre y clave de acceso en el servicio; dicho servicio comprueba que los datos son correctos y envía un SMS al número de teléfono que el usuario tiene registrado; el usuario lee el mensaje y copia el código; una vez pegado el código en el segundo paso de la autenticación la app da acceso al contenido.
¿Cómo mejorar la seguridad de este sistema sin comprometer las ventajas de su automatización? Los ingenieros de Webkit, el motor de navegación que integra Safari y una buena parte de navegadores web, apuestan por insertar un código de un solo uso en los mensajes asociando los SMS a la página o aplicación que los envía. De esta manera el sistema puede capturar fácilmente el código mientras el usuario comprueba visualmente que el servicio al que intenta acceder es el mismo que le ha enviado el mensaje.
Según los ingenieros de Apple, el estándar de doble automatización por SMS debería ser algo similar a lo siguiente:
- Clave de autenticación.
- Nombre del servicio al que se intenta acceder.
- Indicador del servicio.
- Clave de autenticación en formato código.
El SMS en cuestión quedaría tal que así:
Con este tipo de estándar el usuario vería que el código ha sido enviado desde el servicio al que intenta acceder; y su teléfono podría insertar automáticamente el código ya que podría identificarlo al instante. De este modo el doble factor sería más rápido y también más seguro; al menos mientras no se utilice el denominado 'SIM swapping' o estafa mediante los mensajes de confirmación.
Aún es pronto para saber si la propuesta de Apple se convierte finalmente en un estándar. Detrás de ella no solo están los ingenieros de Webkit, también los de Chromium (Google). Cualquier mejora en la seguridad y comodidad de la autenticación siempre es bienvenida.
Vía | GitHub de Webkit
Ver 3 comentarios