Microsoft urge a dejar de usar autenticación por mensaje de texto

Microsoft urge a los usuarios a abandonar la autenticación de dos pasos basada en soluciones telefónicas como códigos de un solo uso via SMS y llamadas de voz, y usar en su lugar nuevas tecnologías de autenticación multi-factor (MFA), como autenticación por apps y llaves de seguridad.

La advertencia viene de Alex Weinert, Director de Seguridad de Identidad en Microsoft. Por el pasado año, Weinert ha abogado por Microsoft, urgiendo a los usuarios a habilitar MFA en sus cuentas.

Citando estadísticas internas de Microsoft, Weinert dijo en un post el año pasado que los usuarios que habilitaron autenticación multi-falctor (MFA) terminaron bloqueando 99.9% de los ataques automatizados contra sus cuentas de Microsoft.

Pero en un post el día de ayer, Weinert dice que so los usuarios tienen que elegir entre múltiples soluciones MFA, deben alejarse de las MFA basadas en el teléfono.

Él argumenta que conforme más utilizados sean los mensajes de texto y voz, más probable será que los atacantes se interesen en ellos, y estos al no estar encriptados representan el eslabón más débil en la cadena de protección. En su lugar, dice, debemos optar por una MFA basada en aplicaciones o una llave de seguridad.

Aun así, si no se tiene otra opción, siempre será mejor tener una MFA aunque sea basada en teléfonos a no tener ninguna habilitada.

FUENTE:
www.zdnet.com/article/microsoft-urges-users-to-stop-using-phone-based-multi-factor-authentication/

Yo tengo más por casualidad que por gusto, un telefono exclusivo para mis apps bancarias (y mi chip principal en el), pero si había estado pensando vincularlas a un nuevo número de telefono para que tengan realmente plena autonomia.

Supongo que para quien realmente utiliza información sensible o cantidades grandes de dineros esta idea no es nada nueva.

El problema de la autenticación multifactorial es la comodidad de su uso. Si, es muy conveniente, pero a la persona [strike]problema[/strike] promedio se le dificulta hasta usar su lector de huellas en el celular. Yo tuve que convencerme a la fuerza para activar los mensajes sms en todas las aplicaciones, no se si realmente quiero lidiar con mas medios de autenticación. Y mira que las pocas veces que he ocupado dar de baja un equipo y dar de alta otro en, por ejemplo, mi cuenta de steam, me toca darme de topes contra la pared hasta que todo funcione bien. Al menos para mi banca en linea, ocupan el numero de cliente, el pass y mi huella digital, ya de ahí, también se ocupa el netkey para cualquier operación.

Crusader wrote: El problema de la autenticación multifactorial es la comodidad de su uso. Si, es muy conveniente, pero a la persona [strike]problema[/strike] promedio se le dificulta hasta usar su lector de huellas en el celular. Yo tuve que convencerme a la fuerza para activar los mensajes sms en todas las aplicaciones, no se si realmente quiero lidiar con mas medios de autenticación. Y mira que las pocas veces que he ocupado dar de baja un equipo y dar de alta otro en, por ejemplo, mi cuenta de steam, me toca darme de topes contra la pared hasta que todo funcione bien. Al menos para mi banca en linea, ocupan el numero de cliente, el pass y mi huella digital, ya de ahí, también se ocupa el netkey para cualquier operación.

Es entendible tu punto.

Otro problema que también hay con la autenticación es que algunas apps no hacen un respaldo o la forma de hacerlo es más engorrosa. Por ejemplo, Google Authenticator no hace respaldos y hay otras que el respaldo lo tienes que hacer manual sea a nube o a dispositivo y luego lo guardas en otro lado.

Si restauras el celular, se te pierde, etc. a veces cuesta mucho trabajo tener acceso a la cuenta que requiere el código.

Yo uso Authy y para no sacar mi celular tienen un programa en Windows (y otros SOs) y todo está sincronizado. Ellos no tienen acceso a los códigos (según).

Para la 2FA de google, a la hora de activarla puedes generar un archivito de texto donde vienen 10 codigos que puedes usar solo una vez, en caso de que no tengas acceso a tu telefono.
Yo lo tuve que hacer por que mi viejo Samsung Note murio y use esos codigos en lo que me hacia de un nuevo cel.

Los mensajes de texto sirven, más no son recomendables, por que muchisima, si no es que toda la infraestructura de red celular usa un sistema llamado SS7 en.wikipedia.org/wiki/Signalling_System_No._7 el cual es viejiiiiiiiiiiiiiiiiiiisimo y totalmente inseguro, por lo que alguien con suficientes recursos (o interes) puede pwnearte de una manera obscena. Aparte existen otros ataques como el SIM SWAP en el que alguien desvincula tu sim de tu numero telefonico y lo hace suyo. Nos e si esto apse en México pues hasta donde se, para hacer un cambios e SIM se requiere de que vayas fisicamente a un centro de servicio de tu proveedor celular, pero en otros paises, tienes la opcion de hacerlo via telefónica y los operadores, con tal de hacerse los utiles te ofrecen una multitud de chances y formas de convencerles de que tu eres el dueño de la linea.