El sistema de doble inicio de sesión y Google

Hace ya varios años que vi la primera Token Card. La usaba una persona que trabajaba en un laboratorio de vacunas animales que se había contactado para tener WiFi en su casa. El aparato era idéntico (al menos así lo recuerdo) al de la foto y cada minuto cambiaba un número de 6 cifras.

Esta persona estaba bastante paranoica con el tema de los datos, supongo que para eso debería ser el creador de la gripe porcina, por lo menos. El tema es que su necesidad era la de poder conectarse a la VPN de la empresa, algo que supuse iba a funcionar y así fue. Lo extraño del tema era que el Login era través de un software de Cisco, pedía Usuario, contraseña… Y el PIN.

RSA SecurID

Con el tiempo aprendí más de este sistema. El llavero generaba un numero único que identificaba al usuario y que se “aseguraba” que era el usuario detrás de la Notebook y no alguien que le haya robado la contraseña en un ataque informático. También podría ser un grupo de terroristas que estén apuntando al usuario para sacarle la contraseña y tengan el SecurID en la mano, pero bueno, a nivel seguridad de sesión esto es un avance importantísimo.

Básicamente el hecho de usar Usuario > Password > Token se llama autenticación de 2 pasos. Esto es algo que, en muchos aspectos, le quita mucho “peso” a nivel seguridad a la contraseña ya que, de hecho, para tener acceso a nuestra cuesta además del password el atacante nos va a tener que "robar fisicamente” el token.

Ahora, si tenés un iPhone, Blackberry o con Android y usás una cuenta de Google podés utilizar tu celular inteligente como “token” y asegurar mucho mas la bendita cuenta G, que en algunos casos, es mucho mas que Gmail y Greader. La autenticación es muy simple, y consta de:

  • Activarlo desde tu cuenta de Google
  • Descargar Google Ahutenticator en tu Smartphone
  • Ingresar el código del “token” cada vez que te loguéas

Obviamente podemos activar la opción que haga que en equipos fijos no pida el “token” cada vez que iniciamos sesión. Eso lo hice en mis equipos que uso habitualmente. Por lo que la “molestia” es una vez, o de vez en cuando.

Y ahora, la pregunta del millón:

¿Qué pasa si pierdo o me roban el Smartphone?

Algo bastante común en nuestros lares. Si sucede esto, podemos recuperarlo vía telefónica a un número secundario que debemos configurar cuando activamos el sistema (incluso te llama una computadora a tu casa y te da el código, genial). También podemos acudir a los 10 “tokens comodin” que pueden usarse para casos donde no tenemos el Smartphone disponible, momento en el que, si somos inteligentes, desactivaremos el sistema hasta recuperarlo o conseguir otro.

Por cierto, los “tokens comodín” pueden imprimirse y guardarse en un lugar seguro de la casa. Mientras mantegamos en secreto la contraseña recordemos que solo es un “numerito” que nada puede hacer.

Por último vale aclarar que muchas aplicaciones del mismo Google que no son Web (como Picasa o Gmail para Android) todavía no soportan este sistema por lo que necesitan una contraseña especial para funcionar, que deben crearse desde la mismísima cuenta de Google.

100% recomendable para activar. Google siempre adelante.

13 Comentarios

  1. yo uso un sistema similar para loguearme a una plataforma extranjera. esta muy bueno aunque a veces el llaverito se desincroniza y tenes que hablar con la empresa para q vuelva a sincronizarlo. Esta bueno tener la app en un smartphone pero me sentiria mucho mas tranquilo si tengo el llaverito fisico, se podra comprar?

  2. Excelente Guillermo!

    Eso si, a cuidar el smartphone… Pero la verdad la mayoría de usuarios que no guardamos nada vital que llame la atención de un presunto ladrón, en la utilísima y polifacética cuenta de Google, este será un juguete más, ofrecido por los genios de Google.

    Curioso, curioso.

    Saludos desde Colombia!

    • Quizas tengas razon… pero por otro lado, es una herramienta conveniente para los que han usado Google Checkout y la cuenta guarda información importante sobre la tarjeta de credito

  3. Tengo entendido que se usa mucho en las cuentas de Poker, pudiendo comprar el token en la tienda de el servicio (como PokerStars).

    Igual soy pobre y no tengo SmartPhone así que ni me preocupo

  4. La verdad genial Google.

    Es muy útil si en GDocs tenes toda la info de tu empresa por ejemplo. ¿Creo que twitter eran los que se manejaban asi?

    Eso le da propaganda que podes tener tu vida en la nube y casi mas segura que en tu propia casa.

    En mi caso la verdad no tengo cosas tan importantes como para andar poniendo tanta seguridad, aunque es poca molestia considerando que el 95% de las veces me logueo desde mi pc.

    Y voy a vender mi Milestone asi que sin smartphone no hay seguridad!

  5. En HP uso exactamente ese Token de RSA para conectarme a una VPN y lanzar aplicaciones desde un servidor, que utiliza un administrador de conexiones Citrix, que son mis herramientas de trabajo de todos los dias.

    Parece todo “re-grosso”, pero es solo un Help Desk…

    Saludos

  6. No tengo la opción de doble inicio de sesión en mi cuenta, aparentemente esta solo para USA.

    Mi cuenta me aparece en castellano y no se cómo hacer para cambiar el idioma… no hay una opción desde cuentas…

  7. […] a los SMS) internet facebookseguridad Ya hemos visto como Google permitía agregar la autenticación de doble vía  para así evitar que con un simple robo de contraseñas nos roben nuestra (tan) preciada […]

Dejar respuesta

Please enter your comment!
Please enter your name here