Lo comentaba ya hace un mesecito por estos mismos lares: La autenticación basada en SMS había demostrado no ser del todo segura.

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

No al menos lo suficiente como para poder recomendarla como 2FA.

¿Las razones? Básicamente que la idea de utilizarla como segundo factor de autenticación radica en que se trata de un sistema de identificación basado en la posesión, que casa perfecto con otro basado en el conocimiento, como son las contraseñas. De esta manera tenemos uno basado en un riesgo global (cualquiera puede robarnos de alguna manera esa contraseña) y otro basado en un riesgo local (para tener acceso al SMS, deberían robarnos físicamente el dispositivo), compartiendo lo mejor de ambos mundos.

¿El problema? Que la segunda condición no se cumple. Se ha demostrado que mediante ingeniería social, y e incluso mediante las propias limitaciones del sistema mundial de SMS, es posible acceder a los mismos sin atacar físicamente a la persona.

Así surgen alternativas, como son los tokens de autenticación. Que ya estaban disponibles en su momento, y que fueron paulatinamente perdiendo peso frente a la hegemonía y comodidad del SMS.

Pues la cuestión es que estos días Instagram ha movido ficha incluyendo la opción de autenticación basada en token. No es el primero ni será el último que lo haga. De aquí a un par de años seguramente eso de autenticarnos con el SMS pasará a mejor vida.

Y junto con este cambio, dos más que merecen mención:

  • Sobre esta cuenta: Una función disponible en las cuentas de famosetes en la que informan de cosas tales como desde cuándo está dicho perfil, si ha cambiado de nombre o si contrata publicidad. La idea es precisamente atacar a la reventa de cuentas. Algo muy habitual en la industria.
  • Verificación de cuenta: El mismo movimiento que en su día hizo Twitter. Es posible ahora pedir la verificación de cuenta. Otra cosa es que te la concedan, claro, enviando para ello un identificador como puede ser el DNI.

En fin, tres movimientos necesarios para mejorar ligeramente la seguridad de la que en este momento parece la red social más importante… al menos entre los jóvenes.

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******