Cuando el inicio de sesión se convierte en un cuento chino
El episodio de esta semana bien podría titularse con el clásico Estas cosas sólo me pasan a mí. Por razones que prefiero no revelar (sí, mi torpeza de nuevo), tuve que mandar a reparar mi celular principal. De modo que, al arrancar el muleto e intentar acceder a mis cuentas, se activó la autenticación de múltiple factor.
Suena estratosférico, pero es algo muy sencillo. Al entrar en, por ejemplo, tu cuenta de Twitter, ponés nombre de usuario y contraseña. Si estos datos están OK, Twitter te envía un PIN de 6 cifras a tu celular. De esa forma, si un fisgón (o un delincuente) consiguen tu clave, todavía necesitaría tener tu línea de teléfono para iniciar sesión. Y eso, en general, es más complicado. Obviamente, podés autorizar uno o más dispositivos para que no soliciten el dichoso PIN,
Aunque no está libre de fallas, funciona muy bien. Hasta que te empiezan a llegar los mensajes de texto con el PIN en chino al teléfono muleto que no tenías autorizado. En chino. O eso me pareció. Fui a Google Translate y lo detectó como coreano, pero conozco ese idioma y no se ve así. En todo caso, no había números y no podía entrar en mi cuenta de Twitter. Y por lo tanto tampoco podía obtener un código de respaldo.
¿Contaba con códigos impresos, como los que ofrece Google? No. ¿El traductor me había dado alguna pista de cuáles podían ser los dichosos numeritos de mi PIN? Ni cerca. ¿Y el teléfono que había mandado a reparar? Cifrado y restaurado a parámetros de fábrica. ¿Tenía algún otro dispositivo autorizado? ¡Sí!
Luego de una mudanza es difícil encontrar casi cualquier cosa, pero mi fiel Galaxy S4 está siempre a mano. Así que pude al menos acceder a la app de Twitter en el muleto y salí andando. Twitter me resulta fundamental para escuchar a mis lectores y no puedo darme el lujo de tenerla ni desactivada ni desprotegida.
Pero los SMS con el PIN para acceder a otros dispositivos seguía llegando en chino (o en coreano) y lo de buscar un código de respaldo cada vez estaba empezando a impacientarme (para decirlo elegantemente). Recuerdo salvador
Me acordé entonces de algo que había hablado con Iván Arce, CTO de Quarkslab, cuando me sugirió que escribiera acerca de las apps para autenticación de múltiple factor (como Authenticator, de Google), y, en particular, del hardware para esta metodología, como Yubikey, del que trataré luego. De hecho, fue por esa conversación que incorporé estos temas en mi último libro, Hackearán tu mente. En total, una tenue luz de esperanza se había encendido en mi horizonte. Fui a Play, bajé el Authenticator y lo instalé. Luego entré en el sitio de Twitter, fui a Cuenta Seguridad Configurar una aplicación de generación de códigos y apareció una pantalla con un código QR. Abrí Authenticator y apreté el botón rojo con un signo + (Agregar) y ahí la app me dio dos opciones: escanear un código QR o ingresar una clave. Obviamente, opté por lo primero y en dos segundos tenía el generador de códigos en el celular.
Los PIN de seis cifras duran 30 segundos, y descubrí algo interesante, gracias a que el teclado de mi muleto tiene una barra espaciadora del tamaño de una bacteria. Aunque esos seis números están separados por un espacio, funcionan igual si los escribimos todos juntos. El espacio es sólo para facilitar la lectura y la memorización. Al menos, así es en Twitter, Gmail y Facebook, por lo que imagino que es estándar.
¿Por qué me llegaban los SMS en chino (o en coreano)? Ni la menor idea. Tengo en mi lista de pendientes preguntarle a Twitter cuál puede haber sido el motivo. Cualquiera que fuese, no iba a desactivar la autenticación de múltiple factor ni por un instante. Uno nunca sabe y en Internet un poco de paranoia nunca está de más.
Visto de afuera, instalar una app para generar códigos parece añadir una capa de complicación a esto de recordar contraseñas para numerosas cuentas. En realidad, es al revés. Resulta mucho más cómodo que los SMS (incluso cuando no te llegan en chino) y es bastante más seguro.
Todavía mejor es comprar un hardware para generar códigos. El que domina el mercado es Yubico, con su Yubikey (https://www.yubico. com/products/yubikey-hardware/), que son muy económicas (18 dólares el modelo básico) y por lo tanto tiene sentido para aquellos que deben proteger cuentas de correo, Facebook, Twitter, Dropbox y otras que contienen material muy sensible. Que no, no es la mejor idea poner ese tipo de cosas en la Nube, pero sabemos de sobra que muchas veces resulta inevitable.
No, ya no es una buena idea proteger las cuentas sólo con una contraseña