¿Cómo cambio de una aplicación de autenticación 2FA a otra?
Agité un poco el avispero esta semana cuando sugerí que la gente debería cambiar de Google Authenticator a otra aplicación de autenticación de dos factores en Android. Recomiendo Authy, pero eso es solo porque lo uso y lo encuentro increíblemente conveniente. No solo le prohíbe a usted (y a otras aplicaciones) tomar capturas de pantalla, sino que aprecio la seguridad de verificación adicional incorporada en Authy (y las opciones que tiene para mantener la seguridad de sus claves 2FA incluso cuando usa funciones más controvertidas, como su capacidad de sincronizar rápidamente sus claves 2FA con otros dispositivos que posee).
Pero, sinceramente, también hay muchas otras excelentes aplicaciones 2FA:1 Contraseña viene a la mente, si no le importa pagar por ello (y debería hacerlo, si aún no tiene un administrador de contraseñas). Mejor aún, use un token de hardware para cualquier cuenta que pueda, en lugar de su teléfono inteligente. Realmente no me importa lo que uses; A mí y a muchos otros nos gusta Authy, pero puedes usar cualquier aplicación de autenticación que funcione mejor para ti.
¿Te sientes abrumado? No deberías estarlo, pero lata parece que hay mucho que procesar si no eres especialmente inteligente con la tecnología o la autenticación de dos factores. Como lector de Lifehacker Jenny escribe:
«Acabo de leer su artículo sobre las aplicaciones 2FA, y necesito un poco de orientación, por favor, ¿no le importaría? Solo soy semi-techie y la mayor parte de eso gracias a la buena gente en Reddit.
Esta semana activé la Autenticación de Factor 2 de Google para mi inicio de sesión en Reddit, y todavía no he entendido cómo funciona.
Ahora estás diciendo que no es seguro, y debería cambiar a Authy, ¿verdad? ¿Cómo puedo hacer eso? Si elimino el Google de mi teléfono, ¿eso estropeará mi inicio de sesión de Reddit? ¿O se cambiará automáticamente? Y si voy a Authy, ¿puedo ponerlo en mi tableta para que si algo le sucede a mi teléfono todavía pueda ingresar a mis cuentas? Y si cambio a Authy, ¿debo eliminar el Google de mi teléfono antes o después de descargar y encender Authy?
¡Cualquier guía que me puedan dar sería muy apreciada!
¡Que tengas un día maravilloso y gracias por todo el trabajo que hiciste para informarnos a todos aquí!
¡Repasemos lo básico! Primero, aquí está la versión simple de cómo 2FA protege sus cuentas. Configura 2FA en un sitio web o servicio y lo vincula a una aplicación (en este caso). Esa aplicación tiene un número rotativo. Cuando va a iniciar sesión en el sitio web o el servicio, debe abrir la aplicación y proporcionar este número rotativo para verificar que usted y usted no son un pirata informático que tienen en sus manos su nombre de usuario y contraseña. La protección proviene de la idea de que, si bien sus credenciales se pueden robar fácilmente de varias maneras, las probabilidades son muy bajas, si no infinitesimales, de que un atacante también pueda adivinar (o fuerza bruta) este número especial que cambia aproximadamente cada 30 segundos más o menos.
Esto es ligeramente diferente de cuando un sitio web o servicio le envía un número de texto que luego debe ingresar durante el proceso de inicio de sesión. Esto se conoce como verificación en dos pasos, y aunque es mejor que nada, es menos seguro que 2FA porque es más fácil para un atacante intercambiar SIM o bloquear su número de teléfono, interceptar sus mensajes, incluidas estas solicitudes de inicio de sesión, y tener un dia de campo. Es mucho más difícil para un atacante obtener el control físico del dispositivo que usa para la autenticación de dos factores, por lo tanto, se prefiere este último.
Ahora, a tu pregunta. Honestamente, eres probablemente bien si te quedas con Google Authenticator, porque es mejor que no usar una aplicación de dos factores. Siempre y cuando no descargues malware malicioso o aplicaciones aleatorias en tu dispositivo, a menudo una y la misma cosa, no importa que Google Authenticator permita capturas de pantalla (cuando escribí esto).
Si quieres estar súper seguro, puedes esperar o cambia a otra aplicación de autenticación, como Authy. Así es como lo haría con Reddit:
- Use Google Authenticator para iniciar sesión en Reddit como lo haría normalmente
- Desactiva la autenticación de dos factores temporalmente
- Vuelva a encenderlo y configúrelo con Authy en lugar de Google Authenticator
Eso es. Tendrás que repite este proceso para cada sitio o servicio donde habilitó 2FA y lo vinculó a Google Authenticator. Es un proceso molesto, pero no debería llevar mucho tiempo; y al menos tiene una lista de todos los sitios que deben ajustarse, ya que podrá verlos en la aplicación de Google.
Una vez que haya cambiado todas sus cuentas a Authy y pueda confirmar que puede iniciar sesión con ellas utilizando los códigos de Authy, elimine Google Authenticator. Sin embargo, para compartir Authy códigos a través de dispositivos, el proceso es mucho más simple. Instala la aplicación Authy en cualquier otro dispositivo que quieras usar para 2FA. Luego, acceda a la aplicación Authy en su dispositivo original y abra su configuración. Toque «Dispositivos» en la parte inferior y habilite «Permitir múltiples dispositivos».
Luego, inicie sesión en Authy en su segundo dispositivo con las credenciales que solicite: su número de teléfono, creo, o el primer dispositivo. Una vez que lo haya configurado y vea que todos sus códigos 2FA están sincronizados, vuelva a su dispositivo original y desactive la configuración «Permitir múltiples dispositivos». El nuevo dispositivo que acaba de configurar seguirá funcionando, pero nadie más podrá sincronizar su cuenta con otro dispositivo hasta que vuelva a activar ese interruptor.
Normalmente, para las aplicaciones 2FA, tendría que realizar el proceso que describí anteriormente para sincronizar una cuenta con aplicaciones de autenticación en varios dispositivos: iniciar sesión en sus cuentas y deshabilitar 2FA temporalmente, configurarlo nuevamente y escanear el código QR proporcionado ( o lo que sea) usando la aplicación de autenticación en cada dispositivo. De lo contrario, normalmente no hay una manera de simplemente «agregar» un nuevo dispositivo y sincronizarlo.
Authy es la excepción, que también es una fuente de parte de su controversia, aunque conveniente, esta característica teóricamente lo hace más fácil para que un atacante obtenga acceso a todas sus combinaciones de 2FA, si no lo ha impedido hacerlo deshabilitándolo. Me gusta la conveniencia, pero puedo ver cómo esto sería un punto de conflicto para las personas que desean una experiencia de autenticación tan segura y privada como sea posible. Si ese eres tú, quizás Authy no sea la mejor opción después de todo.
¿Tienes una pregunta técnica que te mantenga despierto por la noche? ¿Cansado de solucionar problemas de Windows o Mac? ¿Busca consejos sobre aplicaciones, extensiones de navegador o utilidades para realizar una tarea en particular? ¡Haznos saber! Cuéntanos en los comentarios a continuación o por correo electrónico [email protected].