Cuando llegas a casa, te paras frente a la puerta y buscas a tientas las llaves, luego las usas para abrir la entrada. No escribes un código, no hablas con la puerta y no respondes acertijos como si estuvieras hablando con una esfinge. Es relativamente seguro y no te da un gran dolor de cabeza.
La versión de Internet de esto es básicamente la clave U2F. Aunque todavía tiene que escribir su contraseña, el trabajo adicional que tiene que hacer con la autenticación de dos factores desaparece porque todo lo que tiene que hacer es insertar su clave física en una ranura USB. Pero, ¿es este método al menos tan seguro como otros métodos de autenticación? Y quizás lo más importante, ¿aborda algo nuevo?
Un curso acelerado rápido sobre la autenticación U2F
Para explicar cómo funciona U2F, ya debe comprender la autenticación de dos factores. Si no está familiarizado con este concepto, usemos Google Authenticator como ejemplo de trabajo: ingresa sus datos de inicio de sesión para ingresar a Google, y luego su servidor le pide que abra la aplicación Google Authenticator en su teléfono para obtener un seis- contraseña de un solo dígito. Este último paso garantiza que la persona que inicie sesión en su cuenta sea la misma persona propietaria del teléfono en el que se instaló GA (¡presumiblemente, ese es usted!). Algunas entidades (bancos, por ejemplo) envían un SMS al número de teléfono asociado a tu cuenta con un código de seis a ocho dígitos para conseguir el mismo resultado. Otros (también por lo general los bancos) le darán un dispositivo token que genera estos números.
De acuerdo, entonces la autenticación de dos factores usará dos cosas para iniciar sesión (de ahí el nombre): su contraseña y un código adicional asociado con algo físico que posee y que solo se puede usar una vez.
Ahora que lo hemos aclarado, así es como funciona U2F en pocas palabras: hace todo esto por usted en forma de llave física, como la que usa para abrir una puerta. La clave se inserta en una ranura USB y presiona un botón para finalizar su inicio de sesión. Al presionar ese botón, se activa un algoritmo que genera un código internamente y lo envía automáticamente al servidor de autenticación.
Bastante simple, ¿verdad?
¿Por qué U2F?
Si puede usar la autenticación de dos factores de manera inmediata sin tener que comprar nada adicional, ¿por qué la gente debería esforzarse por obtener una clave física? Para las empresas, la respuesta es obvia: no es necesario que compre costosos tokens para sus empleados. Pero, ¿cuáles son las ventajas para los consumidores? Veamos esos:
- Nunca tendrá que escribir códigos, lo cual es muy conveniente.
- Como no es necesario teclear códigos, el código interno transmitido automáticamente por la llave puede ser más largo (generalmente alrededor de 32 caracteres).
- No tienes que depender de tu teléfono. (¿Qué pasa si tu teléfono se estropea o cambias de número?)
las advertencias
La razón por la que no veo que U2F se aplique tan ampliamente es que la autenticación de dos factores ya ha establecido el estándar. Está fácilmente disponible y es lo suficientemente fácil de implementar para los proveedores de servicios. Actualmente, solo los principales servicios como Google, Facebook, Dropbox y GitHub cuentan con compatibilidad.
Aparte de este problema, también está el problema de lo que aborda. En pocas palabras, se verá como una versión gloriosa de la autenticación de dos factores que es marginalmente más conveniente de usar. No importa que U2F aborde los ataques Man in The Middle de manera más eficiente (aunque eso es discutible, y llegaremos a eso). La percepción es más importante cuando intentas vender una idea.
Probablemente, la advertencia más importante es el hecho de que U2F hace muy poco para evitar que un pirata informático secuestre su tráfico y se haga pasar por usted falsificando su agente de usuario en su navegador. Este hecho por sí solo hace discutible el argumento de «mayor seguridad» para U2F.
la comida para llevar
Aunque U2F no es necesariamente más seguro que la autenticación de dos factores, vale la pena señalar que da algunos pasos en una dirección positiva (p. ej., aumentar la longitud de la clave, eliminar las frustrantes barreras de autenticación para los usuarios finales, etc.). Como tecnología, puede que no sea «revolucionaria», pero ciertamente hace su trabajo de una manera que es más conveniente para las personas que invierten en ella. U2F puede ser atractivo para las empresas, pero es posible que los consumidores no consideren que el precio de $50 de estos pequeños dispositivos valga la pena.
Hablemos de algo interesante. ¿Qué te convencería de comprar una llave U2F? ¿O ya estás convencido? ¡Cuéntanoslo todo en un comentario!