Haciendo un poco más fácil el 2FA

En mi último artículo de Los invisibles de la CDN, hace muchas lunas ya, comenté cómo implementamos un sistema de autenticación en dos pasos (2FA) mediante clave autogenerada para el registro en nuestro panel de control. El objetivo del 2FA es evitar ingresos indeseados en nuestra cuenta. Pues bien, hoy voy a enseñaros cómo saltarlo.

Perdón por el clickbait del párrafo anterior ;). ¡Qué clase de empleado y desarrollador sería si enseñara cómo saltarse las medidas de seguridad que nosotros mismos ponemos! Lo que voy a contaros es cómo podemos saltarlas sin perder un ápice de la seguridad que proporciona la autenticación en dos pasos.

Transparent recordará esto

Si estás leyendo esto, y disfrutas de los productos que ofrece Transparent Edge, seguramente tienes activado el 2FA en tu cuenta para tener ese extra de seguridad tan necesario estos días. 

Como toda nueva implementación, a medida que se utiliza, vamos recibiendo el feedback de los usuarios y en ocasiones nos han planteado una sugerencia de mejora, no de seguridad, sino de «cansancio». Y es que, cada vez que quieres entrar, tienes que acudir a tu aplicación de generación de códigos de confianza, para poder introducir dicho código, asegurando que tú y solo tú, eres el que accede a tu cuenta; y esto puede resultar algo tedioso si tienes que acceder al panel varias veces al día. Así que para estos casos, hemos implementado el muy conocido: «recordar este dispositivo».

A la hora de diseñar esta nueva funcionalidad, la premisa más importante que siempre tenemos presente, es que el nivel de seguridad debería continuar siendo el máximo posible. Con ese postulado por bandera, comenzamos a pensar cómo identificar al usuario de manera inequívoca, y decidimos apoyarnos en una funcionalidad que entregan prácticamente todos los navegadores web actuales.

Estos son capaces de registrar datos del usuario tales como: el tipo de navegador, el sistema operativo sobre el que funciona, la IP, etc. Todos estos datos cambian si el usuario intenta acceder desde un dispositivo o localización diferente, por lo que nos sirven para identificar el dispositivo desde el que se hace el registro.

Pero incluso con estas, los malos de Internet podrían falsear sus datos para intentar hacerse pasar por nosotros. Así que optamos por guardar un parámetro más que identifica al dispositivo, y de ese no voy a dar más detalles porque un mago nunca revela sus trucos.

Con todo esto, al meter vuestro usuario y contraseña, seleccionando la casilla de «recordar este dispositivo», e introduciendo el código autogenerado para asegurar la autenticación, guardamos dichos datos para identificaros la próxima vez que queráis entrar al panel, sin necesidad de sacar vuestro teléfono para ello.

Un poco más de seguridad, por si acaso

Si habéis llegado hasta aquí, solo quedan dos detalles que daros a conocer acerca de esta nueva funcionalidad antes de que vayáis corriendo a recordar vuestro dispositivo: el primero es el tiempo que el sistema va a recordarlo. Sería un descuido en la seguridad el tener el dispositivo guardado at infinitum, ya que este puede pasar a otras manos de formas más o menos deseadas. Por ello, cuando queréis recordar un dispositivo, os ofrecemos un listado de periodos de tiempo durante los cuales, vuestro dispositivo estará guardado. Una vez que se venza, este se borrará y tendréis que volver a usar el código autogenerado, renovando para un nuevo periodo de tiempo el “recordar dispositivo”.

Y el segundo, ya para finalizar: si por desgracia se produce un inesperado cambio de propietario del dispositivo, os tenemos cubiertas las espaldas. Tan solo tendréis que acceder a vuestra configuración de perfil dentro del panel de control, y allí encontraréis un pequeño apartado llamado «Dispositivos recordados», en el cual os mostraremos todos los dispositivos que habéis decidido recordar, y algo de información sobre ellos para que podáis identificarlos. Y por supuesto, la posibilidad de olvidar uno o varios de ellos.

Con esto, esperamos incentivar el uso de la autenticación en dos pasos, aumentando la seguridad en vuestras cuentas, y haciendo vuestro día a día en el panel de control de Transparent Edge, un poco más fácil.