Has escuchado el consejo durante años: active la autenticación de dos factores en todos los lugares donde se ofrezca. Durante mucho tiempo ha quedado claro que usar solo un nombre de usuario y una contraseña para proteger las cuentas digitales no es suficiente. Pero la superposición de un «factor» de autenticación adicional, como un código generado aleatoriamente o un token físico, hace que las llaves de tu reino sean mucho más difíciles de adivinar o robar. Y hay mucho en juego tanto para las personas como para las instituciones que intentan proteger sus redes y datos valiosos y confidenciales contra la piratería informática o los delincuentes oportunistas.
Sin embargo, incluso con todos sus beneficios, a menudo se necesita un poco de amor duro para que las personas realmente activen la autenticación de dos factores, a menudo conocida como 2FA. En la conferencia de seguridad Black Hat en Las Vegas ayer, John Swanson, director de estrategia de seguridad en GitHub, presentó los hallazgos del esfuerzo de dos años de la plataforma de desarrollo de software dominante para investigar, planificar y luego comenzar a implementar dos factores obligatorios para todas las cuentas. . Y el esfuerzo ha adquirido una urgencia cada vez mayor a medida que proliferan los ataques a la cadena de suministro de software y crecen las amenazas al ecosistema de desarrollo de software.
“Se habla mucho sobre exploits y días cero y compromisos de canalización en términos de la cadena de suministro de software, pero al final del día, la forma más fácil de comprometer la cadena de suministro de software es comprometer a un desarrollador o ingeniero individual”. Swanson le dijo a WIRED antes de su presentación en la conferencia. “Creemos que 2FA es una forma realmente impactante de trabajar para prevenir eso”.
Empresas como Apple y Google han realizado esfuerzos concertados para impulsar sus bases de usuarios masivas hacia 2FA, pero Swanson señala que las empresas con un ecosistema de hardware, como teléfonos y computadoras, además de software, tienen más opciones para facilitar la transición de los clientes. Las plataformas web como GitHub deben usar estrategias personalizadas para asegurarse de que los dos factores no sean demasiado onerosos para los usuarios de todo el mundo que tienen diferentes circunstancias y recursos.
Por ejemplo, recibir códigos generados aleatoriamente para dos factores a través de mensajes de texto SMS es menos seguro que generar esos códigos en una aplicación móvil dedicada, porque los atacantes tienen métodos para comprometer los números de teléfono de los objetivos e interceptar sus mensajes de texto. Principalmente como una medida de ahorro de costos, empresas como X, antes conocida como Twitter, han reducido sus ofertas de SMS de dos factores. Pero Swanson dice que él y sus colegas de GitHub estudiaron la elección detenidamente y llegaron a la conclusión de que era más importante ofrecer múltiples opciones de dos factores que adoptar una línea dura en la entrega de códigos SMS. Cualquier segundo factor es mejor que nada. GitHub también ofrece y promueve con mayor fuerza alternativas como el uso de una aplicación de autenticación que genera código, la autenticación basada en mensajes push móviles o un token de autenticación de hardware. La compañía también agregó recientemente soporte para claves de paso.
La conclusión es que, de una forma u otra, los 100 millones de usuarios de GitHub terminarán activando 2FA si aún no lo han hecho. Antes de comenzar la implementación, Swanson y su equipo dedicaron mucho tiempo a estudiar la experiencia del usuario de dos factores. Revisaron el flujo de incorporación para dificultar que los usuarios configuren incorrectamente su cuenta de dos factores, una de las principales causas de que los clientes queden bloqueados en sus cuentas. El proceso incluyó más énfasis en cosas como la descarga de códigos de recuperación de respaldo para que las personas tengan una red de seguridad para ingresar a sus cuentas si pierden el acceso. La empresa también examinó su capacidad de soporte para asegurarse de que pudiera responder preguntas e inquietudes sin problemas.