La verificació en dos passos (2SV) i l’autenticació de dos factors (2FA) permeten afegir una segona capa de seguretat digital més enllà d’una sola contrasenya per accedir a un compte d’internet. Aprèn què són i com pots protegir d’atacs cibernètics els teus comptes més valuosos amb Google Authenticator o Authy.
Tradicionalment per iniciar la sessió amb el nostre nom d’usuari a un compte d’internet introduïm una contrasenya. I si és verificada com a correcta ens permet l’accés al servei de què es tracti.
Ja sabem que normalment no som gaire diligents amb les nostres contrasenyes. Per no deixar la seguretat i privacitat dels nostres comptes en falderet pots recórrer a les recomanacions que tens en un article anterior d’aquest blog:
La millor forma de crear i gestionar contrasenyes segures
I és que com ja deia en aquell article, la contrasenya és la primera línia de defensa del nostre compte. I cal insistir-hi.
Però avui en dia ja no és necessàriament l’única.
A partir del moment que és possible afegir més passes per accedir a un compte, s’ha definit que la solitària contrasenya seria un factor d’autenticació simple. En canvi si l’accés al sistema es concedeix només després que es confirmin dues o més proves diferents que l’usuari és qui diu ser, ens trobaríem amb una autenticació de múltiples factors.
Aquestes proves o credencials poden ser contrasenyes, codis temporals, certificats digitals…
Els diversos factors que es poden utilitzar per concedir l’accés a un compte o sistema s’han classificat en les següents tres categories:
- Coses que saps.
- Coses que tens.
- Coses que ets.
Un exemple clar que tothom pot conèixer és l’accés als nostres diners per mitjà d’un caixer automàtic. Per retirar efectiu necessites una llibreta o una targeta (una cosa que tens) i un codi pin (una cosa que saps).
En quins comptes puc activar l’autenticació múltiple?
Evidentment per poder afegir una segona credencial d’accés és necessari primer que el servei online en el que hi tens un compte ofereixi aquesta possibilitat. I de cada vegada són més els que tenen suport per aquesta autenticació de múltiples factors. Des de comptes de banca digital fins a proveïdors de correu electrònics, passant per xarxes socials i botigues online, s’afegeixen a les millors pràctiques de seguretat.
En algunes ocasions el propi servei online s’encarrega de gestionar directament una credencial addicional. Hi ha entitats financeres que solen donar accés als seus clients a un compte online mitjançant una contrasenya i, a més, amb un dels diferents codis que consten en una targeta que posseeix l’usuari.
Però en altres serveis és possible habilitar una aplicació de tercers per poder obtenir un codi al teu mòbil o dispositiu que triïs com a segona credencial.
Pots veure un llistat d’alguns d’aquests serveis que ofereixen l’opció d’afegir una segona credencial d’accés al web Two Factor Auth (2FA). Però el millor que pots fer es comprovar tu mateix als teus propis comptes d’internet si entre els paràmetres de configuració de seguretat s’hi inclou l’autenticació de dos factors o la verificació en dos passos.
Per exemple pots habilitar la verificació en dos passos per iniciar sessió al teu compte de Google i protegir els teus correus electrònics i demés aplicacions associades (documents, calendari, etc…).
Un altre servei prou conegut que permet activar la verificació en dos passos és Dropbox.
O també en el teu propi gestor de contrasenyes com LastPass! Així per accedir-hi necessites no només la teva contrasenya mestra, sinó també una segona credencial. D’aquesta manera protegeixes encara molt més els teus comptes d’internet.
Verificació en dos passos o autenticació de dos factors?
La Verificació en Dos Passos (o 2SV, de l’anglès Two Step Verificacion) i l’Autenticació de Dos Factors (2FA, de l’anglès Two Factor Authentication) consistirien en afegir una segona credencial per iniciar una sessió a un compte online. Aquesta credencial és necessària una volta l’usuari ha introduït amb èxit la contrasenya per accedir al seu compte.
Però són el mateix o es diferencien d’alguna manera? Teòricament es diferenciarien per l’ús de les categories dels factors de d’autenticació.
La Verificació en dos passos sol·licita dues credencials de la mateixa tipologia: per exemple dues contrasenyes. D’aquesta manera l’usuari ha d’introduir dues coses que sap.
En l’Autenticació de dos factors, en canvi, la segona credencial hauria de ser d’una tipologia diferent de la primera. Per exemple si primer has d’introduir una contrasenya (una cosa que saps), en segona instància podries haver de fer servir alguna cosa que tens (passar una targeta) o una cosa que ets (com un escanneig dactilar, de l’iris o un reconeixement de veu).
Aquesta distinció conceptual moltes vegades es presta a confusió a la pràctica. Ho veurem a continuació amb un parell d’aplicacions: Google Authenticator i Authy.
Com funcionen Google Authenticator i Authy
Google Authenticator i Authy són dues aplicacions que et permeten afegir aquesta segona capa de seguretat en comptes i serveis online que ofereixen aquesta opció.
Quan escrius la contrasenya al teu compte se’t demana un codi. Llavors obres l’aplicació del teu mòbil i veus que tens un codi temporal associat al servei online on vols entrar.
El codi va canviant cada pocs segons, de manera que l’has d’introduir al camp corresponent mentre està vigent. Només llavors podràs iniciar la sessió.
Els dos casos funcionen igual, però mentre que Google Authenticator es defineix com a Verificació en Dos Passos (2SV), Authy es defineix com a Autenticació de dos Factors (2FA).
La raó d’aquesta diferència es justificaria si Google considera que la introducció del codi seria una cosa que saps, igual que la contrasenya. I de fet estrictament és així. Però en canvi podem veure que en l’explicació que es fa sobre com us protegeix la verificació en dos passos de Google es diu que “protegireu el vostre compte amb una cosa que sabeu (la contrasenya) i una cosa que teniu (el telèfon o la clau de seguretat)”.
És a dir, Google utilitza per descriure la seva verificació en dos passos el que seria una definició de l’autenticació de dos factors.
Per la seva banda, Authy no utilitza enlloc el concepte de verificació en dos passos. A la seva pàgina de descripció sobre què és l’autenticació de dos factors (2FA) hi inclou a més de la contrasenya una segona prova que pot ser de qualsevol de les tres categories de factors.
Per tant la confusió en aquest tema és generalitzada. Així que divergències conceptuals a part, anem a veure com utilitzar aquestes aplicacions.
1- Instal·lació de l’aplicació
Pots descarregar-te Google Authenticator o Authy pel teu mòbil tant per a Iphone com per a Android.
2- Activació de la verificació/autenticació multifactor
Com havíem dit abans, has d’habilitar la doble autenticació o verificació al compte que vulguis protegir. Normalment ho trobaràs als paràmetres de seguretat de la configuració del servei de què es tracti. Sempre que estigui disponible, és clar.
És possible que tenguis diferents opcions, però normalment sempre trobaràs la verificació en dos passos de Google Authenticator (GA). Si apareix GA, pots escollir-la per utilitzar tant l’aplicació de Google com la d’Authy!
3- Vinculació del compte amb l’aplicació
Afegeix el compte del servei que vulguis protegir a la teva aplicació GA o Authy.
El servei et proporcionarà un codi QR que podràs escannejar directament amb GA o Authy, o una clau de seguretat que hauràs d’introduir manualment a l’aplicació. D’aquesta manera vincularàs el teu compte amb GA o Authy per iniciar sessió.
És habitual que puguis configurar un dispositiu de confiança per evitar haver de fer la doble verificació/autenticació al teu ordinador habitual. Així només es demanarà el codi en altres dispositius.
4- Comprova que funciona!
Surt del compte i intenta iniciar sessió. Hauràs d’introduir el teu usuari i contrasenya (una passa que pots fer fàcilment amb un gestor de contrasenyes).
Si les dades són correctes t’apareixerà un segon camp per tal d’introduir un codi de verificació. Llavors obres l’aplicació GA o Authy, cliques la icona del compte on vols entrar i t’apareixerà un codi que canvia en menys d’un minut.
Introdueixes aquest codi al camp d’inici de sessió abans que caduqui i accedeixes al teu compte.
Quina és millor: Google Authenticator o Authy?
Les dues aplicacions tenen bona reputació per gestionar la doble verificació o autenticació. Però en la meva opinió Authy presenta alguns avantatges significatius respecte Google Authenticator que em fan decantar cap aquesta opció.
Anem a veure les característiques més destacades en cada cas.
Google Authenticator
1. De Google Authenticator es valora per part dels usuaris la senzillesa i facilitat d’ús.
2. Compleix la seva funció perfectament.
3. Tens el control exclusiu i la responsabilitat sobre les claus que vinculen els teus comptes amb l’aplicació. No hi ha còpies de seguretat, pel que és recomanable que tu mateix desis en un lloc segur les claus amb les que tens vinculats els teus comptes amb l’aplicació. Si canvies de mòbil, necessitaràs restablir-les manualment una per una per recuperar els accessos als teus comptes.
4. Només pots habilitar un únic dispositiu, i si n’habilites un altre l’anterior queda desactivat.
5. Com és costum en Google, l’aplicació és disponible en català.
Authy
1. La majoria de vegades en les instruccions dels serveis per activar l’autenticació de 2 factors no es menciona Authy com a opció. Però pots utilitzar Authy en tots els mateixos serveis en què pots activar GA.
2. Si vols, pots triar diferents dispositius des d’on efectuar l’autenticació.
Aquest és un punt important, perquè imagina’t que perds el teu mòbil, o te’l roben, o s’espatlla! Feina tindries d’haver d’acreditar per a cada servei que has canviat de mòbil. Hauràs de deshabilitar l’autenticació de dos factors i renovar-la amb un altre dispositiu. En canvi amb Authy si perds un dispositiu pots seguir fent gestions amb qualsevol altre i desautoritzar immediatament el dispositiu que ja no tens.
3. Authy funciona no només com a aplicació per a mòbils i tauletes. També ho pots instal·lar com a extensió per a navegadors. D’aquesta manera fins i tot portàtils o ordinadors d’escriptori et poden servir per fer l’autenticació, sigui quin sigui el teu sistema operatiu.
4. Còpies de seguretat xifrades. Si només utilitzes un dispositiu i l’has de canviar, amb aquestes còpies pots recuperar tota la funcionalitat de l’aplicació d’un sol cop.
5. Amb Authy configures un PIN per accedir a l’aplicació mòbil o una Contrasenya Mestra per a l’extensió de Chrome. Aquesta opció de seguretat no hi és a l’aplicació de GA.
6. No es poden fer captures de pantalla d’Authy, però sí de GA. Un altre detall de seguretat addicional que pot evitar que algun programa maliciós espiï els teus codis d’autenticació.
7. Amb Authy pots copiar el codi d’autenticació i enganxar-lo al camp corresponent d’inici de sessió del teu compte. Amb GA l’hauràs de recordar i picar manualment.
Conclusió
Millorar la seguretat dels teus comptes d’internet és fàcil amb Google Authenticator o Authy. Sigui Verificació en 2 Passos (2SV) o Autenticació de 2 Factors (2FA), i es digui com es digui, afegir una segona credencial d’accés sempre és millor com a mesura de protecció que tenir-ne només una.
Així que si tens comptes a internet que t’interessi protegir bé de possibles intrusos, pirates, suplantadors o lladres, no t’ho pensis més. Prova Google Authenticator o Authy, queda’t amb la que més et convenci i activa la doble verificació per iniciar sessió.
Coneixies aquestes opcions de seguretat addicional? Utilitzes algun altre sistema de verificació o autenticació doble? Explica’ns-ho als comentaris i ajuda amb les teves aportacions altres lectors que ho poden necessitar.
