Después de una sencilla introducción al concepto de seguridad 2FA, paso a comentar los aspectos más prácticos a través de su implementación mediante App’s. También existe la posibilidad de hacerlo mediante hardware externo (Keys USB) pero eso queda fuera de mis intenciones. De igual manera voy a dejar al margen las app’s de Google (Google authenticator) ya que no permite hacer ningún tipo de backup y por tanto ante una pérdida o cambio de móvil deberíamos tener TODOS los códigos e ir introduciéndolos de nuevo uno a uno. Y la de Microsoft (Microsoft authenticator), dado que aunque sí permite el backup, creo que su restauración es -a día de hoy- algo farragosa. Y también porque no decirlo, no me fío demasiado de ambos.
-Authy-
Podemos considerarla como el rival más directo de Google y MS dada su relativa popularidad y el plus de prestaciones que ofrece frente a las dos anteriores.
La máxima ventaja es que ofrece la opción de multidispositivo (Android, iOS, Windows), de backup y hasta tres modos de gestionar los tokens.
Con la funcionalidad de múltiples dispositivos , los tokens 2FA se sincronizan automáticamente con cualquier dispositivo nuevo que se autorice. Y, si un dispositivo se pierde, es robado o retirado, puede desautorizarlo de cualquier dispositivo autorizado con la misma rapidez.
Con la opción de backup, puedes aprovechar las copias de seguridad encriptadas en la nube . Si cambias o pierdes un teléfono, podrá seguir accediendo a las cuentas de Authy desde otros dispositivos (siempre que no hayas desactivado la función multidispositivo).
También dispone de hasta tres opciones para interactuar con los tokens:
- OTP (código de acceso de un solo uso) ofrece protección 2FA para SMS o llamadas de voz.
- Soft token TOTP (Contraseñas de un solo uso basadas en el tiempo) puede generar códigos 2FA incluso si el móvil no tiene ningún tipo de cobertura.
- Push Authentication habilita la autenticación mediante una notificación.
La app es gratuita -se financia cobrando a las empresas que la habilitan- y es compatible con la mayoría de sitios y aplicaciones que soportan 2FA.
Como parte negativa, su extensión para navegadores Chrome está discontinuada.
-andOTP-
Fantástica aplicación de código abierto con lo mejor de todos los mundos.
- Soporta la mayoría de sitios y app’s que implementen 2FA.
- Permisos y peso mínimos.
- Permite backups y éstos, son encriptados.
- Extensión para navegadores.
Lo único que hay que tener muy claro, es que es necesario realizar un backup de la app para poder cambiar de terminal y utilizarla mediante extensión de navegador. Por otro lado, éste se realiza de forma muy sencilla y bastará con importarlo para que todo funcione sin problemas.
-Bitwarden-
Como no podía ser de otra manera, la mejor app para gestionar contraseñas también nos permite gestionar todo lo relacionado con 2FA y de la forma más sencilla y segura posible. Sí, es la que yo uso 🙂
¿Por qué Bitwarden es mejor que cualquiera de las anteriores?
A lo habitual que ya ofrecen otras; soporte para cualquier sitio 2FA y extensión de navegador, incorpora una que -en mi opinión- la hace determinante: el hecho de que cualquier entrada de un sitio o app 2FA la gestiona como cualquier otra que podamos crear dentro del propio gestor de contraseñas.
Ok pero ¿qué significa ésto?
Pues que nos olvidamos de crear ficheros backups y tener que exportar/importar si usamos varios dispositivos o cambiamos alguno de ellos. También de tener que instalar ninguna otra app 2FA y además, toda la seguridad que ya tengamos para iniciar Bitwarden; huella digital o contraseña se añade a la gestión de los tokens.
Todo el proceso es tan sencillo como “Añadir elemento” (al igual que haríamos con una nueva contraseña) -> y en el campo “Clave de autenticación (TOTP)” escanear (icono cámara de fotos) el código QR o añadir a mano el número de token generado por el sitio o app. Y listo.