La verificación en dos pasos es de vital importancia para que nuestros accesos a las cuentas que almacenan cada vez información más sensible e importante de nosotros sean seguros. Para protegernos de los continuos ataques a los que los usuarios se encuentran expuestos lo que debemos hacer básicamente son dos cosas: utilizar contraseñas seguras y únicas (es decir, no reutilizarlas entre dos o más cuentas), y activar la verificación en dos pasos que establece por defecto, el envío de un código secreto vía sms.
El teléfono es el dispositivo favorito, siempre va con nosotros, e inequívocamente añade una capa extra de seguridad. De esta manera, aunque una de nuestras contraseñas se filtre en la red, nunca podrán acceder a otras cuentas más que a la original. E incluso si intentan acceder a esa cuenta de manera directa, con la verificación en dos pasos ese intento quedará bloqueado de manera rápida.
Lo que dice Google
Recientemente Google ha demostrado en un estudio en colaboración con la Universidad de Nueva York y la Universidad de California lo seguro que es este método. De esta manera, un SMS enviado al móvil de una persona puede evitar el 100% de los ataques automatizados mediante bots que utilizan bases de datos de cientos de millones de contraseñas. Igualmente también es efectivo contra el 96% de los ataques de phishing. El 4% restante es aquella gente que también introduce el código de verificación en páginas web falsas.
Alternativas
Además de la verificación en dos pasos, Google cuenta con otras medidas ya existentes: Data Loss Prevention (DLP), llave de seguridad (que según en este estudio descubrieron que consiguieron bloquear los ataques automatizados mediante bots y de phishing), Password Alert y Google Authenticator, una aplicación móvil que mejora la verificación en dos pasos ya existente. Con ella el usuario puede generar códigos de verificación en su propio dispositivo. Además no es necesario tener cobertura telefónica, algo muy necesario cuando el usuario necesite loguearse en Google con acceso limitado a la red telefónica.
De esta manera Google Authenticator genera un código. El propietario debe introducir junto a su cuenta de correo una contraseña generada por Google Authenticator cada 30 segundos. Transcurrido este tiempo y si no ha sido utilizado, el código deja de ser válido y la aplicación generará uno nuevo.
Si quieres mejorar la seguridad en tu negocio o que los miembros de tu organización estén preparados ante estos ataques, ponte en contacto con nosotros.