Google el lunes comenzó el despliegue de una nueva característica de autenticación de dos pasos, dirigido a los empleados de la empresa.
La nueva opción consiste en una ventana emergente que muestra la imagen, nombre y el perfil de un usuario móvil, y que especifica la ubicación y el dispositivo implicado en el intento de inicio de sesión. Se le pide al propietario del dispositivo si se debe permitir o denegar el inicio de sesión.
Los usuarios finales de la empresa todavía tienen otras opciones para la autenticación del segundo pasos. Pueden utilizar una clave de seguridad de Google o introducir un código de verificación enviado a su teléfono.
La aplicación de Google Prompt
«Se aplica correctamente, la autenticación de dos pasos es una mejora sobre la autenticación tradicional basada en contraseña,» dijo Travis Smith, ingeniero de investigación senior de seguridad de Tripwire .
«Mover al mecanismo del símbolo del Google es un paso para hacer la autenticación de dos pasos más fáciles de implementar para los usuarios finales», dijo a TechNewsWorld. «En lugar de tener que copiar un código de seis dígitos de un dispositivo o a otra aplicación, pueden tocar un solo botón cuando se le solicite.»
Google actualizará su Centro de ayuda con instrucciones detalladas sobre cómo poner en práctica su última función de autenticación de dos pasos.
Google Prompt está disponible tanto para Android y iOS. Los usuarios de Android tienen que actualizar Google Play para utilizarlo, mientras que los usuarios de iOS tienen que instalar Google Search en sus dispositivos por primera vez.
«Por lo general con las características de este tipo, se pone un montón de aviso de que está llegando», observó Rob Enderle, analista principal de la firma Enderle Group .
Google Prompt da a los usuarios una opción y debe ser más fácil de usar, lo que podría dar lugar a un menor número de quejas.
Las deficiencias en 2 pasos
En un ejemplo de un intento de fraude en contra de un sistema de verificación de dos pasos, un atacante podría desencadenar la entrega de un código de un proveedor de servicios para un usuario, y atraer al usuario a reenviar el código para el atacante, investigadores de la Universidad de Nueva York, Escuela Politécnica de Ingeniería lo han demostrado.
El atacante podría intentar iniciar sesión en la cuenta de la víctima y luego decir que ha olvidado la contraseña. Pondrían en marcha un texto código de verificación. Entonces, el pirata enviaría a la víctima un segundo SMS, pidiendo al usuario que transmita el código de verificación para confirmar que el teléfono estaba vinculado a la cuenta en línea bajo ataque.
En la demostración, la mayoría de los objetivos no eran conscientes de que los dos mensajes SMS procedentes de diferentes fuentes.
«Atribuimos el éxito del ataque a la falta de medios eficaces y útiles para el usuario para verificar el proveedor de servicios, la falta de contexto para el mensaje enviado, y una suposición acerca de la comprensión de los usuarios del proceso de autenticación,» escribieron los investigadores de la Universidad de Nueva York.
«Es muy importante permitir una contraseña en pantalla de bloqueo de los dispositivos móviles», dijo Smith de Tripwire.
«Esto no sólo reducir las posibilidades de un actor nefasto para acceder a datos sensibles, sino que también evitará que el actor tenga acceso a la autenticación de dos pasos, pide que añada dispositivos no autorizados a su cuenta», explicó.
El panorama
«El problema para Google es que Android ha sido históricamente inseguro» Enderle señaló.
«Para trabajar en cualquier solución de seguridad, tiene que creer que la plataforma puede dotar de seguridad», continuó Enderle. «Debido a que Android todavía tiene una gran cantidad de carga lateral, cualquier solución de seguridad en esa plataforma puede verse comprometido por un malware fácilmente más que la mayoría de las otras plataformas.»
El sistema de Google «hace mover el balón», dijo Enderle, «pero no tanto como lo haría si la gente cree que Google tomó en serio la seguridad.»