Un poco más seguros con Google Authenticator

FacebooktwitterinstagramFacebooktwitterinstagram

Una de las cosas que más preocupa (o no) a los usuarios es que le roben el password. Especialmente, si este password da acceso a su blog y este está en un dominio igual o similar a jesusdml.es. Lo que puede hacer el personal con la contraseña y el password de un sitio web, creo que está bastante bien «documentado» por Internet y no precisa de más rollos. Lo que no todo el mundo tiene tan claro es cómo evitar esto.

Ya comentaba en otro post, en qué consistia una autenticación basada en dos factores. Para que no tengais que rebuscar, me voy a marcar un bonito corta y pega de mi mismo:

Login y password en LionLo que sabes: Quizás el método mas básico y utilizado de todos, que se trata en el conocimiento por parte del usuario del sistema de un dato supuestamente personal e intransferible, que habitualmente se traduce en un password o PIN combinado con un nombre de usuario para identificar el origen. Normalmente está presente en el resto de los métodos de identificación y autenticación. 

 Lo que tienes: Asociado a algún elemento físico, puede ser un token del estilo a un reloj/calculadora, una hojita de One Time Password, un serial o identificador en el móvil, una tarjeta de coordenadas, etc. Muchas aplicaciones móviles, asocian el ID del dispositivo con el/los número/s de teléfono evitando que el usuario deba autenticarse.

Lo que eres: Con la llegada de dispositivos biométricos, es posible autenticarse con una parte de nosotros mismos que se supone única. La huella, es el método más tradicional, aunque el iris del ojo, las venas de las manos o incluso el código ADN, pueden y podrán utilizarse como método de identificación y autenticación.

 Bien, como estarás pensando, el uso de contraseñas es el método más barato y que implementar cualquier otro de los dos métodos te puede salir por un ojo de la cara (sobre todo el biométrico, verbigracia a parte). Esto era así hasta que google ofreció de forma gratuita su OTP (One Time Password). Un Sistema OTP, crea un password «de usar y tirar desactivar» en función de una lista, una tarjeta de coordenadas o bien mediante algoritmos basados en tiempo.

¿Como usamos esto para mejorar la seguridad? Pues muy fácil. Además de nuestro password, que puede ser capturable en una red, el atacante y/o vecino cotilla que nos rompe el WiFi, debe tener algo que nosotros tenemos. En el caso que nos ocupa, google ha sacado una aplicación para iphone, android y blackberry (debe quedar alguna por ahí, no?) que actúa como generador de estas contraseñas mostrando la contraseña válida en cada momento.

Como esto último ha sido demasiado espeso, vamos a ver si con el caso práctico podemos verlo más claro. Lo primero que debemos hacer es instalar un plugin para WordPress que habilite la función de autenticación mediante el OTP de Google. En mi caso, estoy usando Google Authenticator.

Para activar este mecanismo de autenticación, debemos ir al apartado de nuestro usuario (cada usuario debe general el suyo. Los administradores solo pueden activar o desactivar su uso) generar una nueva clave secreta.

 

parametros google authenticator

Una ves hecho esto, debemos instalarnos nuestra aplicación en el móvil, en mi caso es la app de iphone, y capturar el QR con nuestro móvil. Si falla, podemos meter la clave secreta a mano. Lo que aparecerá en la siguiente pantalla, es la clave temporal que debemos usar conjuntamente con nuestro password habitual:

 

app google authentication iphone

La aplicación para iPhone: Interfaz sencillo. Únicamente vemos la clave, la descripción o el usuario y en la esquina superior izquierda un temporizador con la validez de esta clave.

 

Una vez hecho esto, podemos emplear el uso de nuestras nuevas claves temporales haciendo mucho más seguro el acceso a nuestro blog:

 

login wordpress Google Authenticator

 

En caso de no meter correctamente la contraseña o el código de Google Autentication, el sistema nos dará error:

1._ Cuidado, hay que tener todo instalado antes de salir de nuestro blog y debemos tener un usuario alternativo administrador activado, antes de lanzarnos a hacer pruebas.

2._ Cuidado, hay que tener todo instalado antes de salir de nuestro blog y debemos tener un usuario alternativo administrador activado, antes de lanzarnos a hacer pruebas

Un Saludo,

Print Friendly, PDF & Email
FacebooktwitterredditlinkedinmailFacebooktwitterredditlinkedinmail
  • Hola!!

    En caso de perder la configuración de la APP de Google Authenticator o perder tu móvil/tablet, siempre se puede entrar por FTP a tu servidor y renombrar o borrar la carpeta del plugin WordPress. Con esto el plugin quedará desactivado.

    Por otro lado cuando activas Google Authenticator en tu cuenta de Gmail, Google te deja generar contraseñas alternativas para que las aplicaciones no compatibles funcionen. Esto se encuentra en google.com/settings, y en el apartado security podéis autorizar aplicaciones «Authorizing applications and sites».

    Saludos!!

    • Hola David,

      Gracias por el host. La verdad es que lo de crear un usuario alternativo mientras hacía pruebas (en realidad creé dos para no implicar a este) viene de que para mi era fácil cargarme el plugin por ssh o desactivarlo en el mysql a mano pero si alguien con no demasiados conocimientos intenta jugar con el y no sabe haces esto último se puede quedar pilladín 🙂

      Muchas gracias por tu aportación de gmail. Es buena idea esas excepciones, aunque siempre habrá críticos con esto (la fuerza de una cadena depende del eslabón más débil, bla bla bla) en realidad los métodos de acceso también deben facilitar la vida a los usuarios que a lo mejor desean implementar OTP para el acceso por webmail y a su ves el juego de usuario/contraseña para el acceso por imap. Lo investigare a ver que más cosas puede hacer. Me parece una aplicación de google fantástica y sencillita (sería genial implementarlo en una imagen de disco cifrada…)

      Un Saludo!

  • Yo estuve usando el Authenticator para Gmail. Empecé a raíz de alguna cosa rara que vi en mi Gmail, y por si acaso. Fui muy feliz, pero lo dejé de usar porque ello impedía a alguna aplicación acceder a mi Gmail: Mail en el iPhone, en el Mac, o los dos.

    Así que vuelvo a estar sólo con contraseña. Lo digo sólo aquí que sé que sólo tienes lectores decentes, jeje. Eso sí, la cambio cada poco tiempo 😀

    • jaja decentes como yo xD. En principio solo lo tengo activado en WordPress. En correo, como bien dices, no todas las apps te soportan eso, aunque protegerlo por web y que siga igual por imap y/o pop3, es un poco contraproducente. Para activarlo en WordPress solo tienes que seguir estos pasos, no es necesario que intervenga gmail en nada. Ni siquiera necesitas cuenta de usuario de gmail 🙂

  • Pingback: Bitacoras.com
  • Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *