¿Estás utilizando 2FA? Genial, pero no es fiable

Dondequiera que esté disponible la autenticación de dos factores, debe usarla. No es perfecto, pero determina con éxito a la mayoría de los atacantes.

Sin embargo, no sean engañados para creer que es inexpugnable. Eso no es verdad.

Desde la década de 1950, la contraseña ha sido el método principal de asegurar cuentas de computadora. Ahora estamos inundados con contraseñas, principalmente para servicios en línea, setenta años más tarde.

Revisé mi administrador de contraseñas de curiosidad. Almacena 220 conjuntos de credenciales de inicio de sesión.

El enigma de contraseñas

A menos que estés excepcionalmente dotado, memorizando que muchas contraseñas complejas y robustas son imposibles. Es por eso que las personas reutilizan las contraseñas y crean contraseñas débiles pero fáciles de recordar. Naturalmente, este es el tipo de comportamiento que pone sus cuentas en riesgo de compromiso.

Los ataques totalmente automatizados de fuerza bruta, ataques de diccionarios y otros ataques de búsqueda intentan obtener acceso no autorizado a las cuentas de las personas utilizando listas de palabras y bases de datos de contraseñas violadas. Cuando se produce una brecha de datos, los datos están disponibles en la Web Oscura para que los ciberdelincuentes. Utilizan bases de datos de contraseñas violadas como municiones para su software.

Intenta coincidir con las credenciales robadas y acceder a los que los convence a las cuentas. ¿He sido pwned que reúne los datos de la mayor cantidad de violaciones de datos como sea posible? Puede visitar el sitio en cualquier momento para verificar si su dirección de correo electrónico o cualquiera de sus contraseñas se ha comprometido. Para darle una idea de la magnitud del problema, sus bases de datos contienen más de 11 mil millones de conjuntos de credenciales.

Políticas con respecto a las contraseñas

Con tantas contraseñas posibles, es una buena posibilidad de que otro usuario haya elegido el mismo que usted. Por lo tanto, incluso si ninguno de sus datos se ha comprometido alguna vez, los datos de otra persona pueden haber sido expuestos si usaban la misma contraseña que usted. Y si ha utilizado la misma contraseña en varias cuentas, lo está poniendo en riesgo.

Relacionado: Cómo determinar si los correos electrónicos de los empleados han estado involucrados en la violación de datos Cada organización debe tener una política de contraseña que especifique cómo se deben crear y utilizar las contraseñas. Por ejemplo, se debe definir la longitud mínima de una contraseña, y las reglas para la composición de contraseña deben definirse claramente para que todo el personal entienda y siga.

Su política debe prohibir la reutilización de las contraseñas en otras cuentas y el uso de nombres de miembros de PET o familiares, aniversarios o cumpleaños como contraseñas. El tema es cómo la policía.

Autenticación con dos factores

¿Cómo sabe si sus empleados están cumpliendo estas reglas? Numerosos sistemas le permiten configurar las reglas para la complejidad mínima, que rechazará automáticamente las contraseñas que son demasiado cortas, carecen de números y símbolos, o son palabras de diccionario. Eso es beneficioso. Sin embargo, ¿qué pasa si alguien usa su contraseña corporativa para su cuenta de Amazon o Twitter? No tienes forma de saber con certeza.

La utilización de la autenticación de dos factores aumenta la seguridad de sus cuentas corporativas y también protege contra la administración de la contraseña deficiente. Relacionado: ¿Por qué fallan las contraseñas? La autenticación de dos factores fortalece la seguridad de las cuentas protegidas por contraseña agregando otra capa de protección. También debe tener acceso físico a un objeto físico registrado además de su ID y contraseña.

Estos pueden ser dongles de hardware o smartphones equipados con una aplicación de autenticador aprobada. La aplicación Authenticator en el teléfono inteligente genera un código de una sola vez.

Poner la autenticación de dos factores en riesgo

Cuando inicia sesión en su cuenta, debe ingresar ese código junto con su contraseña. Los dongles se pueden conectar a un puerto USB o comunicarse a través de Bluetooth. Muestran un código o generan y transmiten una tecla secreta basada en el valor interno.

La autenticación de dos factores combina la información que posee (sus credenciales) con un elemento que posee (su teléfono inteligente o dongle). Como resultado, incluso si alguien adivina o bruta, fuerza su contraseña, no podrá acceder a su cuenta.

Conectado: SMS Aunque la autenticación de dos factores no es perfecta, aún debe usarse un atacante puede pasar por alto la autenticación de dos factores y obtener acceso a una cuenta protegida de varias maneras. Varias de estas técnicas requieren una capacidad técnica excepcional y recursos sustanciales. Por ejemplo, los ataques contra el Protocolo del Sistema de señalización No.

7 (SS7) se realizan típicamente por grupos de piratería bien equipados y altamente calificados o atacantes patrocinados por el estado. SS7 se utiliza para establecer y cancelar las comunicaciones basadas en teléfono, incluidos los mensajes de texto enviados a través de SMS. Para atraer la atención de los actores de amenaza de este calibre, los objetivos deben ser extremadamente valiosos.

El término «alto valor» tiene diferentes connotaciones para diferentes atacantes. El pago puede no ser puramente financiero; El ataque puede ser motivado políticamente o parte de una campaña de espionaje industrial, por ejemplo.

Los ciberdelincuentes se ponen en contacto con su portador celular y pose como usted en una «estafa de puerto». Los actores de amenaza que son lo suficientemente capacitados pueden convencer al representante de que son los propietarios legítimos de su cuenta. Luego pueden transferir su teléfono inteligente n.