Google es partidario de las llaves de seguridad físicas como una forma eficaz de evitar la suplantación de identidad de las cuentas de usuarios potenciales, donde de hecho, la compañía alardea de que ninguno de sus más de 85.000 empleados han sido afectados desde que principios del pasado año adoptase este método de autenticación adicional a la hora de iniciar sesión en sus cuentas, usando una versión anterior de este sistema.
Pues bien, la nueva versión de este sistema, bajo el nombre de Llave de Seguridad Titan, comienza a estar disponible para los usuarios de Google Cloud, y a finales de verano, llegará también a los usuarios finales a través de Google Store. Continúa leyendo «Llegan las nuevas llaves de seguridad de Google: Titán»
Authentiq es una plataforma especializada en la autenticación segura en sitios web y aplicaciones móviles, compatible con sistemas OAuth 2.0 y OpenID Connect.
Esta semana ha lanzado una versión actualizada del plugin WordPress Social Login con soporte para su servicio que permitirá a los usuarios autentificarse en sitios bajo WordPress utilizando sólo sus dispositivos móviles, no siendo necesario la introducción de contraseñas.
Instagram también quiere que su plataforma sea un lugar seguro para los usuarios. Continuando con las medidas iniciadas durante el pasado mes de septiembre, la plataforma da ahora los siguientes pasos haciendo disponible la autenticación en dos pasos a todos los usuarios, incorporando una especie de filtro en pantalla para aquellos contenidos que hayan sido denunciado por los usuarios, además de lanzar una sección en la que los usuarios puedan establecer una serie de configuraciones para hacer su experiencia más segura.
Sobre la autenticación en dos pasos hay que señalar que los usuarios deberán activar esta posibilidad desde las opciones de configuración de sus perfiles. Sólo entonces, cada vez que vayan a iniciar sesión, se les requerirá adicionalmente que introduzcan un código que les será enviado vía mensaje de texto a sus dispositivos móviles. Se trata, como sabemos, de una capa de seguridad adicional que dificulta el acceso a usuarios no legítimos de una misma cuenta de usuario. Continúa leyendo «Instagram lleva la autenticación en dos pasos a todos los usuarios entre otras medidas»
Snapchat ahora permite iniciar sesión con una capa de seguridad extra: La verificación de la identidad a través de mensajes de texto (SMS).
La autenticación en dos pasos, como de costumbre, facilitará la comprobación de propiedad de la cuenta al iniciar sesión a través de un simple SMS enviado a un dispositivo que se garantiza que es del usuario, con esto, será más difícil para un atacante tratar de “hackear” una cuenta en Snapchat pues se estrellará con dicha solicitud de comprobación.
La novedad viene de maravilla por los frecuentes problemas de seguridad que envuelven a la app de mensajería, una de las más populares en el enorme mercado del territorio norteamericano y que no pocas veces es usado por el público joven y famosos para compartir contenidos subidos de tono, lo que de inmediato requiere una capa extra de protección para que tales contenidos no caigan en manos de extorsionistas y otros delincuentes.
En fin, la característica está disponible en las últimas versiones de Snapchat para iOS y Android, y se activa desde la respectiva sección de configuraciones de cada una de ellas. Por cierto, la seguridad extra va de la mano con su reciente servicio en pruebas llamado Snapcash el cual, con ayuda de Square -competencia de PayPal-, busca facilitar las transferencias de dinero entre usuarios con solo iniciar un mensaje con el signo de pesos ($) y la cantidad a compartir.
Otro útil detalle incluido en la última versión de Snapchat, hasta ahora la 9.9.0, es que con un doble toque en la pantalla mientras se graba un snap, se podrá cambiar la cámara en uso (frontal o trasera). [Vía: The Register, Gizmodo]
En los últimos años hemos visto como muchas compañías tecnológicas han reforzado las medidas de seguridad de sus servicios mediante la implantación de la autenticación en dos pasos, permitiendo a los usuarios su activación para acceder con mayor seguridad a sus cuentas en dichos servicios. Normalmente, la autenticación en dos pasos añade una capa adicional de seguridad por la que los usuarios bien reciben un mensaje de texto en sus teléfonos con una clave numérica o bien tendrán que escribir una que les aparece desde dentro de la propia aplicación.
Authy es una aplicación de seguridad disponible para diferentes plataformas de escritorio y móviles, teniendo por objetivo en convertirse en la mejor aplicación para la autenticación en dos pasos para aquellos servicios que lo tengan disponible, ofreciendo copias de seguridad en la nube de los tokens bajo fuertes algoritmos de cifrado, disponiendo de soporte para múltiples dispositivos, con la posibilidad de sincronización de tokens desde cada uno de ellos, y disponiendo de un modo offline por el que generará tokens seguros desde los propios dispositivos. Da soporte a servicios con soporte para la autenticación en dos pasos como Facebook, Dropbox, Amazon, Gmail y muchos otros, y además, ofrece soporte para la protección de las billeteras de Bitcoin.
En lo que respecta a los servicios soportados, en la última actualización llevada a cabo en su aplicación móvil para la plataforma Android, permitirá a los usuarios el acceso a las diferentes cuentas de una manera más fácil que antes, pasando de tener que usar un menú de la izquierda a usar un mosaico de aplicaciones, sobre los cuales los usuarios podrán presionar para acceder a sus cuentas cada uno de ellos. Otros cambios visuales son el rediseño de la pantalla de configuración de cuentas y copias de seguridad, reducción en la carga de la aplicación, además del arreglo de los errores aparecidos hasta el momento.
Authy para Android está disponible de manera gratuita a través de Google Play para teléfonos y tabletas Android desde la versión 3.0 en adelante.
Un método de seguridad que se ha puesto de moda en los últimos tiempos tanto por su eficiencia como por su facilidad de uso, además de su implementación en sitios populares (Gmail.com, Dropbox, Amazon, iCloud, Facebook, Twitter, etc.), ha sido el de la verificación o autenticación en dos pasos. La idea es tan simple como inteligente: Al tratar de iniciar sesión en alguno de tales sitios una pantalla adicional pedirá un código que es enviado cada vez a nuestros móviles (vía SMS o con completas apps), así se completa el proceso de login con ayuda de algo que nos pertenece (el móvil) y se complica en buena medida el trabajo de posibles atacantes.
Pues bien, es posible agregar este nivel de seguridad a nuestros sitios web creados con WordPress.org a través de diferentes plugins especializados, por ejemplo, los siguientes 5 que han sido recomendados previamente por el portal ElegantThemes. Todos son gratuitos aunque en varios se puede pagar por acceder a funcionalidades extra, eso sí, no son requeridas para un uso básico.
Lo ofrece la empresa de seguridad Duo y se caracteriza por su sencilla configuración: Crea una cuenta gratuita en Duo, consigue la API Key, instala el plugin, ingresa la API key, marca en WordPress a qué tipo de usuarios se les pedirá la verificación en dos pasos (administradores, autores, comentaristas, etc.) y listo, la próxima vez que se logueen, se les pedirá alguna acción de verificación (popup, SMS, password) a través de la app de Duo para móviles.
Otra brillante herramienta de seguridad que se vale de una app especial para móviles: En el próximo inicio de sesión, luego de instalar el plugin Cleff, pulsa desde la pantalla de login de WordPress sobre el nuevo botón «Log in with your phone» que aparece en su parte inferior. Enseguida se mostrará una onda animada a la que tendrás que apuntar con la cámara de tu móvil, desde la app de Clef, para que se establezca la conexión entre el dispositivo móvil y el del escritorio.
Two Factor Auth permite realizar el login con un código numérico adicional creado aleatoriamente por el algoritmo TOTP/HOTP que se encarga de generar «One Time Passwords», claves que caducan cada cierto tiempo para dar vida a nuevas claves. Éstas pueden ser enviadas automáticamente, tras su generación, tanto vía email como a través de aplicaciones de terceros ofrecidas para dispositivos móviles por herramientas de seguridad como Duo Mobile y Google Authenticator.
Authy se vale de simples mensajes de texto enviados al móvil luego de conseguir una API Key en su sitio web y haber sido configurado su plugin. Una interesante característica es que se le puede permitir a cada usuario de la cuenta en WordPress decidir si optará por este modo de inicio de sesión, aunque también es posible forzar su requerimiento si se cuentan con permisos de administrador.
Finalmente un método también muy cómodo para agregar una capa de seguridad extra a un sitio WordPress mediante las herramientas especializadas ofrecidas por el proyecto Google Authenticator quien provee múltiples plugins y aplicaciones móviles (iOS/Android/BlackBerry), las mismas que sirven para loguearse de forma segura en diferentes servicios populares (Dropbox, Amazon, Gmail, LastPass, etc.). Se basa en códigos aleatorios generados por la app en el smartphone que deben ser ingresados en la pantalla de login de WordPress la cual es modificada automáticamente por el plugin para facilitar la inclusión de los códigos.
Franí§ois Beaufort, perteneciente a Google, publica en su perfil de Google+ acerca de una nueva medida de seguridad incorporada en el último build de Chromium para Mac OS X, de manera experimental, que podría suponer que en un futuro dicha medida la podamos usar el resto de usuarios del resto de plataformas. Esta medida, que actualmente los usuarios de dicho navegador podrán usar mediante su activación a través de chrome://flags/#enable-password-manager-reauthentication, está pensada para todos aquellos usuarios que quieran ver las contraseñas de sus listas de contraseñas almacenadas en sus navegadores web, deban antes autenticarse de nuevo con el login del propio sistema, un comportamiento que funciona de manera similar a Safari.
Si pasado un minuto, los usuarios desean volver las contraseñas de nuevo, entonces volverán a estar obligados a tener que autenticarse para realizar la misma operación. De momento, no se sabe nada más al respecto acerca de si esta medida será incorporada para otras plataformas y de la adaptación a los mismos, pero de ser afirmativo, supondría una nueva capa de seguridad para el acceso a las contraseñas almacenadas en el propio navegador, arreciando así las críticas recibidas en este sentido.
Y es que, como ya hemos visto en varias ocasiones, a Google le preocupa mucho el tema de la seguridad en todos los productos y servicios que ofrece, y claro, quiere que los usuarios estén lo más protegido posibles. Así que esta es una opción más para hacer de Chromium y derivados unos navegadores seguros que evite males mayores.
Este año está siendo curioso en lo que respecta a la seguridad de los servicios web. Hemos pasado de ver noticias de los problemas de seguridad que han afectado a un número de servicios web conocidos a noticias donde éstos toman medidas, entre ellas, la implementación del factor de autenticación en dos pasos. Y si la semana pasada fue Twitter quien lo implementó, esta semana es Evernote quien hace lo suyo, aunque eso sí, llegando primero a los usuarios de cuentas de pago, según la compañía, porque «están más comprometidos con el servicio», y que llegará a finales de año al resto de usuarios.
Además, la implementación de la autenticación en dos pasos viene acompañada también con la implementación del historial de acceso y las aplicaciones autorizadas, dos medidas más de seguridad que permitirá, por un lado, que los usuarios tengan acceso a las localizaciones desde donde han accedido a sus cuentas, y ser avisados por si su cuenta ha sido accedida por un tercero, y por otro, controlar aquellas aplicaciones que tengan autorizadas para ser usadas con Evernote.
Los usuarios necesitarán su id de usuario y contraseña, y además, del código que se les enviará a través de un mensaje SMS a sus terminales móviles.
Por tanto, lo más normal, visto la tendencia, es que otros servicios que aún no lo hayan hecho, incluya la autenticación en dos pasos, con el fin de que los usuarios tengan mayor protección en el acceso a sus cuentas.
Llegará el momento en el que el uso de las contraseñas sea un elemento de autenticación del pasado. Hasta el momento, nos tendremos que conformar con usarlas todavía, unido a aquellos servicios que permiten la autenticación en dos pasos, como es el caso reciente de Outlook.com, o también de la propia Google, quien hoy se ha sumado a la alianza FIDO, formada por algunas firmas tecnológicas del sector.
Y es que Google, como otras empresas, está interesada en buscar vías que permitan la autenticación más segura de usuarios a la hora de acceder a servicios web, y de hecho, sus investigadores de seguridad publicaron, en el pasado mes de Enero, un documento sobre nuevas fórmulas de autenticación, estando entre ellos un token USB, un dispositivo que se conectaría al ordenador del usuario para verificar la identidad al sitio web al que desea acceder, sin necesidad de proporcionar ninguna contraseña.
La alianza FIDO está compuesta, además de Google, por Lenovo, Paypal, Nok Nok Labs, Validity, y la empresa fabricante de semiconductores NXP, así como el fabricante de dispositivos electrónicos de consumo, Crucialtec, donde ambas también ha entrado a formar parte de su junta directiva.
Entre los métodos de autenticación en lo que se está trabajando se encuentra la biometría, la propia voz, el reconocimiento facial, los tokens de seguridad por USB, el estándar NFC, así como las contraseñas de un sólo uso.
Esperemos poder utilizarlas, y que no vuelva a suceder lo que ayer le ocurrió a AP en su cuenta de Twitter, con la consiguiente repercusión mediática.
Vamos a familiarizarnos un poco con el protocolo de seguridad DMARC (Domain-based Message Authentication, Reporting & Conformance), ya que se trata de una herramienta de seguridad que permite a los propietarios de dominios establecer controles indicando a los proveedores de correo electrónico, como GMail, como proceder ante mensajes no autentificados enviado desde sus dominios, lo que reducirá la suplantación de identidad (phishing).
GMail, AOL, Microsoft y Yahoo Mail ya usan este protocolo, y Twitter dice que ha comenzado a usarlo a principios de este mes, un anuncio que ha llegado el día de hoy, lo más probable, ante los dos casos de hackeo ocurridos en los últimos días, donde tanto Jeep como Burguer King han visto sus cuentas afectadas. La idea es que no afecte a la reputación de la seguridad de la conocida red de microblogging ante los ojos de los usuarios.
Y es que no cabe duda de que Twitter debe seguir tomando medidas relacionadas con la seguridad para que casos, como los vividos en días atrás, no suelan sucederse, y tanto las empresas como los usuarios puedan sentirse más seguros en el uso del propio servicio ante la posibilidad de futuros ataques.
Snapchat ahora permite iniciar sesión con una capa de seguridad extra: La verificación de la identidad a través de mensajes de texto (SMS).
Vamos a familiarizarnos un poco con el protocolo de seguridad DMARC (Domain-based Message Authentication, Reporting & Conformance), ya que se trata de una herramienta de seguridad que permite a los propietarios de dominios establecer controles indicando a los proveedores de correo electrónico, como GMail, como proceder ante mensajes no autentificados enviado desde sus dominios, lo que reducirá la suplantación de identidad (phishing).