CIBERSEGURIDAD, le decimos todo sobre la “2FA”
La 2FA, ¿de qué se trata?
¿Esta abreviación no le evoca nada? La 2FA o autenticación de dos factores es una técnica de verificación en dos etapas que consiste en reforzar la protección de su cuenta añadiendo un segundo modo de identificación. Este segundo medio debe ser de un «tipo» diferente del primero, que se retenga (por ejemplo, una contraseña o la respuesta a una pregunta secreta), que se posee (por ejemplo, un teléfono celular o una tarjeta con chip) o que sea (por ejemplo, una huella digital o el reconocimiento facial). Concretamente, ¿qué cambia para un usuario en nuestras plataformas? En ciertos casos, se le pedirá que, además de su identificador y contraseña habituales, proporcione un código de utilización única, enviado inicialmente por email y luego por SMS. Este método es altamente recomendado por las instancias gubernamentales.
La 2FA, ¿para quién?
Tenemos como objetivo principal, proteger las cuentas más sensibles. Durante los últimos tres años, los principales problemas han comenzado por la usurpación de una cuenta Administrador. En efecto, las cuentas que se dicen “con privilegios” disponen de un acceso a la consola de administración, módulo que les permite consultar y modificar los datos personales de los usuarios, modificar la configuración de un establecimiento o distribuir comunicaciones masivas. Nos parece indispensable que éstas sean las cuentas que necesitamos proteger primero.
Retrospectiva y perspectivas
Nos parece muy importante asegurar sus cuentas, siempre y cuando podamos conservar una experiencia de usuario simple y fluida. Por esto, hemos implementado una primera etapa hacia la 2FA enviando por algunos meses el código de autenticación por email, con el objetivo de trabajar de la mano con los usuarios y los clientes para definir la mejor manera de desplegar esta funcionalidad.
Cuando el dispositivo de envío por email esté bien probado, implementaremos la recepción del código temporal directamente en el teléfono celular (envío de un SMS), lo que constituye un verdadero segundo factor.
Descripción de nuestros proyectos de seguridad desde marzo del 2022 y hasta el regreso a clases de septiembre del 2023:
Marzo 2022, dos sistemas de prevención reforzada:
- todos los usuarios serán informados en caso de renovación de la contraseña,
- los administradores serán notificados de cada conexión desde un nuevo dispositivo.
Enero 2023, nuevas obligaciones y restricciones para los administradores:
- verificación obligatoria del email del administrador en su primera conexión,
- ya no es posible modificar datos sensibles de otro administrador. Esto impide que un usurpador pueda atribuirse más privilegios.
Febrero 2023, implementación de la verificación de acceso por email:
- se activa para cada nuevo acceso a la consola de administración,
- y en cada modificación de datos personales sensibles (email, teléfono, contraseña),
- sin embargo, no habrá spams inútiles: la verificación sólo es necesaria una vez por sesión.
Basados en el retorno de experiencia del cliente, la 2FA podrá hacerse por SMS a principios del 2023 en un nuevo proyecto piloto, y luego de manera generalizada en todos nuestros proyectos en el regreso a clases del 2023.
¡Nunca perder de vista los buenos hábitos!
Las usurpaciones de identidad se deben a malas prácticas y a una protección insuficiente de las contraseñas. Recuerde: en la era digital, su contraseña es valiosa. Utilizar siempre las mismas contraseñas, o servirse de medios mnemotécnicos fácilmente descifrables compromete su seguridad.
Algunos consejos de la CNIL (Comisión Nacional de la Informática y las Libertades) para crear una contraseña eficaz:
- Que sea largo y complicado (por ejemplo: 12 caracteres y 4 tipos diferentes)
- Que no diga nada sobre usted (evite utilizar su fecha de nacimiento o su película favorita)
- Que sea único (no utilice el mismo código para conectarse a todos sus servicios)
- Que pueda retenerlo … sin escribirlo
El último punto no es siempre fácil de aplicarlo, entonces, para todos aquellos a quienes les falla la memoria, nuestro delegado de la protección de datos, David Breyton, les ofrece sus consejos:
” Retener decenas de contraseñas largos y únicos para los sitios que visita, sabemos que no es tarea fácil. Ahora existen en el mercado, diferentes administradores de contraseñas altamente seguros. Personalmente, utilizo Truekey, que me permite grabar una quincena de contraseñas gratuitamente.”
comments
Add comment