Aplicaciones 2FA

Después de una sencilla introducción al concepto de seguridad 2FA, paso a comentar los aspectos más prácticos a través de su implementación mediante App’s. También existe la posibilidad de hacerlo mediante hardware externo (Keys USB) pero eso queda fuera de mis intenciones. De igual manera voy a dejar al margen las app’s de Google (Google authenticator) ya que no permite hacer ningún tipo de backup y por tanto ante una pérdida o cambio de móvil deberíamos tener TODOS los códigos e ir introduciéndolos de nuevo uno a uno. Y la de Microsoft (Microsoft authenticator), dado que aunque sí permite el backup, creo que su restauración es -a día de hoy- algo farragosa. Y también porque no decirlo, no me fío demasiado de ambos.

-Authy-

Podemos considerarla como el rival más directo de Google y MS dada su relativa popularidad y el plus de prestaciones que ofrece frente a las dos anteriores.

La máxima ventaja es que ofrece la opción de multidispositivo (Android, iOS, Windows), de backup y hasta tres modos de gestionar los tokens.

Con la funcionalidad de múltiples dispositivos , los tokens 2FA se sincronizan automáticamente con cualquier dispositivo nuevo que se autorice. Y, si un dispositivo se pierde, es robado o retirado, puede desautorizarlo de cualquier dispositivo autorizado con la misma rapidez.

Con la opción de backup, puedes aprovechar las copias de seguridad encriptadas en la nube . Si cambias o pierdes un teléfono, podrá seguir accediendo a las cuentas de Authy desde otros dispositivos (siempre que no hayas desactivado la función multidispositivo).

También dispone de hasta tres opciones para interactuar con los tokens:

  • OTP (código de acceso de un solo uso) ofrece protección 2FA para SMS o llamadas de voz.
  • Soft token TOTP (Contraseñas de un solo uso basadas en el tiempo) puede generar códigos 2FA incluso si el móvil no tiene ningún tipo de cobertura.
  • Push Authentication habilita la autenticación mediante una notificación.

La app es gratuita -se financia cobrando a las empresas que la habilitan- y es compatible con la mayoría de sitios y aplicaciones que soportan 2FA.

Como parte negativa, su extensión para navegadores Chrome está discontinuada.

-andOTP-

Fantástica aplicación de código abierto con lo mejor de todos los mundos.

  1. Soporta la mayoría de sitios y app’s que implementen 2FA.
  2. Permisos y peso mínimos.
  3. Permite backups y éstos, son encriptados.
  4. Extensión para navegadores.

Lo único que hay que tener muy claro, es que es necesario realizar un backup de la app para poder cambiar de terminal y utilizarla mediante extensión de navegador. Por otro lado, éste se realiza de forma muy sencilla y bastará con importarlo para que todo funcione sin problemas.

-Bitwarden-

Como no podía ser de otra manera, la mejor app para gestionar contraseñas también nos permite gestionar todo lo relacionado con 2FA y de la forma más sencilla y segura posible. Sí, es la que yo uso 🙂

¿Por qué Bitwarden es mejor que cualquiera de las anteriores?

A lo habitual que ya ofrecen otras; soporte para cualquier sitio 2FA y extensión de navegador, incorpora una que -en mi opinión- la hace determinante: el hecho de que cualquier entrada de un sitio o app 2FA la gestiona como cualquier otra que podamos crear dentro del propio gestor de contraseñas.

Ok pero ¿qué significa ésto?

Pues que nos olvidamos de crear ficheros backups y tener que exportar/importar si usamos varios dispositivos o cambiamos alguno de ellos. También de tener que instalar ninguna otra app 2FA y además, toda la seguridad que ya tengamos para iniciar Bitwarden; huella digital o contraseña se añade a la gestión de los tokens.

Todo el proceso es tan sencillo como “Añadir elemento” (al igual que haríamos con una nueva contraseña) -> y en el campo “Clave de autenticación (TOTP)” escanear (icono cámara de fotos) el código QR o añadir a mano el número de token generado por el sitio o app. Y listo.