Donde la autenticación de dos factores se queda corta

Los diseñadores web son constantemente bombardeados con consejos de seguridad. Estamos informados sobre las mejores prácticas, agujeros de seguridad y sus parches necesarios. Es suficiente para hacer que tu cabeza dé vueltas.

Por supuesto, todo esto es importante y bien intencionado. La seguridad en línea es un objetivo en constante movimiento, donde incluso los jugadores más grandes son susceptibles. Por lo tanto, depende de nosotros mantenernos al día con los últimos desarrollos.

La autenticación de dos factores (2FA) ha sido una de las tecnologías más promocionadas para mantener seguras las cuentas en línea. Ves que se implementa en todas partes, desde la banca hasta las redes sociales. Y también se puede instalar fácilmente en su propio sitio web.

Si bien 2FA puede ser eficaz para frustrar el acceso no autorizado a nuestras cuentas, también tiene algunos inconvenientes potencialmente importantes. Recientemente, experimenté esto de primera mano. Lo siguiente es un vistazo a lo que sucedió y el lío que ayudó a crear.

Diferentes implementaciones entre proveedores, con un hilo común

Como casi cualquier otra tecnología, la autenticación de dos factores se puede implementar de varias maneras. Los usuarios pueden autenticarse a través de un mensaje SMS, correo electrónico o un código de verificación de una aplicación como Google Authenticator. También pueden seleccionar una foto de confianza que se muestre con cada inicio de sesión, asegurándose de que no están en un sitio de phishing.

A veces, un proveedor de servicios le dará una opción. Pero muy a menudo estás atascado con cualquier método que ofrezcan. Cuantas más cuentas proteja a través de 2FA, más complicado se vuelve todo esto.

Por ejemplo, muchos lugares utilizan mensajes SMS para su teléfono. Pero, de nuevo, algunos también requerirán esa aplicación de autenticación. Todavía otros tendrán una opinión diferente. El desafío es tratar de realizar un seguimiento de quién usa qué tecnología y asegurarse de tener las herramientas adecuadas a mano.

Pero parece que la mayoría de los métodos tienen un único punto en común: dependen de su dispositivo móvil para funcionar. Seguro que es conveniente. Aún así, ¿qué pasa si algo le sucede a ese dispositivo?

Un teléfono fallido conduce al caos

Esta es la situación en la que me encontré, ya que la conexión de datos móviles en mi teléfono Android se estropeó. Los mensajes de texto se retrasaban por horas o no se entregaban en absoluto. Un miembro de la familia que residía en la misma casa y en la misma red recibió sus mensajes sin problemas. Eso me llevó a creer que se trataba de algún tipo de falla de hardware.

Como se hace en esta situación, probé una serie de remedios. Esto incluía la temida "opción nuclear" de restablecer mi teléfono de fábrica. Vale la pena intentarlo, ¿verdad?

El problema aquí era doble. Primero, no solucionó el problema de los mensajes de texto. Peor aún es que me desconectó de todas mis cuentas. Google, Facebook, Twitter, etc. fueron bombardeados. Tal vez eso sea mejor para mi salud mental, pero probablemente no sea tan bueno para trabajar/jugar.

Intentar volver a iniciar sesión en cada una de estas cuentas no fue tan fácil. ¿Por qué? Por 2FA, por supuesto.

Google fue especialmente duro, ya que las dos únicas opciones que me dio estaban vinculadas a mi teléfono. Quería enviarme un mensaje de texto, pero eso no iba a funcionar. Y también permitieron un código de Google Authenticator. Esto hubiera sido genial, pero requería que iniciara sesión en mi cuenta de Google para, ya sabes, obtener acceso al código.

La solución fue finalmente iniciar mi computadora de escritorio y apagar temporalmente 2FA para Google ( realmente no les gustó esto). Dulce alivio, recuperé mi Gmail.

Para divertirme aún más, tuve que repetir un proceso similar con varias otras cuentas. Irónicamente, no puedo acceder a mi banca en línea a través de mi escritorio, ya que depende de la verificación por SMS. Sin embargo, puedo acceder a él en mi teléfono porque no existe tal requisito. Solo pensar en esto me pone a sudar frío.

Por supuesto, mi situación no es única. Cualquier persona sin acceso a su dispositivo móvil podría estar fácilmente en el mismo barco.

Lecciones aprendidas

Las frustraciones asociadas con 2FA pueden ser útiles como un momento de enseñanza. Aquellos de nosotros que creamos sitios web para ganarnos la vida nos damos una palmadita en la espalda por aumentar la seguridad, y con razón. Pero implementar esta tecnología en sí misma no es el final de nuestra misión.

En cambio, se necesita pensar seriamente. Aquí hay algunas cosas que debe tener en cuenta antes de agregar la autenticación de dos factores a su sitio web:

2FA no necesariamente tiene que ser un requisito

Es tentador obligar a los usuarios a utilizar la autenticación de dos factores. Y en ciertas circunstancias de alto riesgo esto tiene sentido.

Pero para la mayoría de los sitios, puede considerar optar por requisitos estrictos de contraseña. Por ejemplo, si está ejecutando un sitio de membresía que no contiene nada secreto, 2FA podría ser opcional. Pero quizás le pida a los usuarios que cambien las contraseñas cada seis meses.

Es un poco menos complicado para los usuarios y, con suerte, menos trabajo de soporte para usted. Y no te olvides de la accesibilidad. A pesar de las suposiciones, no todos tienen acceso a múltiples dispositivos.

Proporcionar alternativas

Si bien puede ser difícil desde el punto de vista del mantenimiento, ofrecer más de un solo método de 2FA podría ser beneficioso. Los usuarios pueden elegir el sabor que mejor les funcione. O, en un apuro, incluso podrían cambiar lo que están usando en caso de que su dispositivo móvil no esté disponible.

Aparte de eso, al menos ofrezca una manera fácil para que las personas se comuniquen con usted si tienen problemas. Es increíblemente frustrante cuando no puedes acceder a tu cuenta y no hay nadie para ayudarte.

Espere algunos desafíos

Es posible hacer todo bien y aún encontrarse con usuarios que tienen problemas de inicio de sesión. Por ejemplo, algunas implementaciones de 2FA ofrecen códigos de respaldo de un solo uso. Son excelentes para los momentos en que el método de autenticación elegido no funciona.

Sin embargo, no todos se tomarán el tiempo para guardar o imprimir estos códigos (yo no lo hice). Por lo tanto, es importante prepararse para los problemas inevitables que ocurrirán.

La autenticación de dos factores es útil, pero está lejos de ser perfecta

En total, hay muchas razones para que te guste 2FA. Puede ser bastante simple de implementar y ayuda a prevenir el acceso no autorizado a los datos del usuario. Y hay varios métodos diferentes disponibles.

Sin embargo, no deja de tener sus defectos. Como descubrí, un teléfono torcido puede causar muchos problemas. La imposibilidad de iniciar sesión en sus cuentas más importantes paraliza su vida. Imagine no poder acceder a su cuenta bancaria o incluso a su proveedor de telefonía celular.

Entonces, por supuesto, agregue la autenticación de dos factores a sus sitios web y aplicaciones. Pero planee con anticipación e intente que el proceso sea sencillo para los usuarios. Puede esperar un entorno más seguro, pero no espere milagros.