Microsoft quiere que deje de recibir códigos 2FA por teléfono

Aranzulla de Los Pobres

Siempre es una buena idea proteger sus cuentas con algún tipo de autenticación de 2 factores (2FA), pero no todos los métodos son iguales. Si bien los SMS y las llamadas telefónicas 2FA han existido durante mucho tiempo, Microsoft dice que ya es hora de que lo colguemos y avancemos hacia mejores tecnologías.

¿Qué dijo Microsoft sobre SMS 2FA?

Alex Weinert, director de seguridad de identidad de Microsoft, hizo una publicación en el sitio web de Tech Community . Analiza el estado actual de los métodos de autenticación de múltiples factores y por qué la 2FA de texto y voz no es tan fuerte como antes.

Primero, la 2FA basada en teléfonos no puede adaptarse a los ataques tan bien como a otras tecnologías. Si un pirata informático encuentra una manera de explotar los SMS o las llamadas telefónicas, realmente no puede ajustar cómo funcionan estas tecnologías para protegerlos.

Además de esto, las llamadas telefónicas y los mensajes SMS no se pueden cifrar sin una aplicación especial. Si un pirata informático logra acceder a sus llamadas o mensajes, puede obtener toda la información que necesita con muy poco esfuerzo adicional.

Recibir una llamada telefónica o un mensaje de texto también depende en gran medida de qué tan buena sea su red móvil. Si se encuentra en un área con un servicio irregular, puede ser difícil recibir el código.

Peor aún, los mensajes SMS son "disparar y olvidar", lo que significa que el remitente no tiene ninguna forma de ver si sus mensajes llegan al teléfono del cliente. Simplemente envía el mensaje de texto y espera que el cliente lo haya entendido bien.

Para colmo, 2FA basado en teléfono utiliza un sistema de soporte al cliente para respaldarlo. Las personas que trabajan en el servicio de atención al cliente pueden ser engañadas o coaccionadas por piratas informáticos para permitir el acceso al teléfono 2FA, otorgándoles así acceso.

Alex Weinert afirma que no quiere parecer como si no le gustara 2FA. Cree que es una parte esencial de la seguridad en línea de cualquier persona. Es solo que 2FA que se basa en servicios telefónicos tiene fallas y se deben usar alternativas más fuertes.

¿Están realmente desactualizados los métodos 2FA basados ​​en teléfonos?

Alex hace un punto fantástico con su publicación. Cuando 2FA comenzó a hacer olas en Internet, la certificación telefónica era una de las formas más fáciles y rápidas en que alguien podía proteger su cuenta.

En estos días, sin embargo, los SMS y las llamadas telefónicas no son tan buenos como solían ser. Por un lado, el correo electrónico 2FA es simple y efectivo, ya que puede proteger una cuenta de correo electrónico con una contraseña segura y utilizar un servicio de correo electrónico cifrado para proteger sus mensajes.

No solo eso, hay aplicaciones y servicios que generan códigos 2FA para usted. No es necesario que le envíen uno; simplemente abra la aplicación y vea cuál es el código actual, y listo. Estas aplicaciones se pueden proteger aún más mediante datos biométricos o contraseñas.

En esencia, Alex dio en el clavo. Si bien 2FA es importante, los SMS y las llamadas telefónicas son algunos de los métodos más débiles y menos convenientes para lograr este objetivo.

Haciendo 2FA aún más fuerte

Si bien 2FA es importante, Microsoft cree que hay mejores formas de proteger su cuenta que usando SMS y llamadas telefónicas. A medida que la tecnología 2FA continúa desarrollándose, recibir un código por mensaje de texto puede convertirse en un pasatiempo perdido hace mucho tiempo.

Por supuesto, Microsoft no fue el primero en tener esta idea. Hay muchas razones para dejar de usar SMS 2FA y adoptar tecnologías como las claves U2F.

Haber de imagen: vladwel / Shutterstock.com