Menú principal

sábado, 23 de marzo de 2013

Apple añade "Verificación en dos pasos" para Apple ID usando códigos por SMS pero sólo en algunos países

Esta semana Apple ha activado lo que denomina "Verificación en dos pasos" para todos los usuarios que quieren fortificar las cuentas de Apple ID mediante el uso de la posesión de dispositivo móvil como elemento de verificación de identidad. Este sistema ya lo aplican desde hace tiempo Google o Microsoft en servicios como Hotmail, y tiene ventajas de seguridad para muchos entornos.

El funcionamiento es sencillo,  si el dueño de la cuenta ha activado la verificación en dos pasos, cada vez que se va a acceder a un servicio basado en Apple ID, como por ejemplo la compra de música o aplicaciones por iTunes, desde Apple se enviará un mensaje SMS con un código que llegará al número de teléfono asociado. Este número se requerido una vez que se haya introducido la contraseña.

Figura 1: Esquema de funcionamiento de verificación en dos pasos

Ventajas de activar verificación en dos pasos en el Apple ID

Asociar un factor de autenticación dinámico a la cuenta de Apple ID es útil cuando se usa esta identificación desde un equipo que pueda contener malware, ya que aunque se robe la contraseña, esta no será útil para siempre y no podrá usarse en el futuro. El atacante sólo podría robar la sesión y no desactivar la verificación en dos pasos - ya que para ello se requiere verificación en dos pasos -, lo que para herramientas como ElcomSoft Phone Password Breaker que gestiona los backups con cuentas de Apple ID, dejaran de funcionar de momento.

Figura 2: Backups de iClouds gestionadas por ElcomSoft Phone Password Breaker

Eso hace que, si un atacante consiguiera robar la cuenta y el código de SMS enviado por Apple en la máquina en el momento en el que la víctima lo introduzca, el dueño del Apple ID podría requerir la recuperación de la cuenta por medio de un mensaje al dispositivo móvil.

Riesgos de activar la verificación en dos pasos en el Apple ID

Por supuesto, asociar la verificación en dos pasos asociándola a tu iPhone, hace que toda la seguridad de tu Apple ID requiera en la pérdida del iPhone, donde el atacante que se haga con tu teléfono no necesitará sacar la contraseña de Apple ID - que es de lo más protegido en iOS - sino que le bastará con solicitar una recuperación basada en SMS. Esto, implicaría que tiene que tener el PIN de la SIM y el passcode del terminal, así que esos son los factores que debes fortificar, y tener activados los servicios de Find My iPhone para poder borrar los datos en caso de pérdida.

Por último, si solo usas Apple ID desde el teléfono, esto supondría una carga extra de trabajo en el proceso de verificación que tal vez no merezca la pena, ya que las muestras de malware que roben la password de Apple ID son cero, y tras la fortificación de la App Store con HTTPs las posibilidades de perderla en una red se han reducido bastante.

Para activar este servicio puedes leerte las FAQ del servicio, donde entre otras cosas, además de explicarte los pasos para activarlo, podrás leer que sólo está disponible en USA, UK, Irlanda, Australia y Nueva Zelanda, así que si no vives en esos países tu fortificación de cuenta seguirá dependiendo de la cuenta de correo asociada y las preguntas de seguridad que ya se introdujeron hace tiempo.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares