En Seguridad Apple hemos hablado recientemente sobre el rumor de que Apple hará obligatorio el uso de 2FA con la llegada de iOS 11, pero ¿Realmente ha obligado Apple el uso de two-factor authenticacion (2FA) a los usuarios de la beta macOS High Sierra e iOS 11? La respuesta es no. Apple no ha hecho obligatorio el uso de 2FA a todo el mundo, pero ahora sabréis por qué los usuarios de la versión antigua de two-step verification (2SV) pueden haber malentendido un e-mail enviado por la compañía“Si instalas las betas públicas de iOS 11 o macOS High Sierra este verano y cumples los requerimientos básicos, tu Apple ID se actualizará automáticamente para usar two-factor authentication”
Esto significa simplemente que la gente usando 2SV será actualizada al uso de 2FA y todos aquellos que nunca hayan usado 2SV se quedarán como estaban. Sin ninguna duda, algunos usuarios no tendrán claros los beneficios de actualizarse a 2FA. Two-step verification ha estado disponible para las cuentas de Apple e iCloud desde 2013, mientras que two-factor authentication apareció en 2015 para todos los usuarios corriendo OS X El Capitán o iOS 9 o posterior. El establecimiento de 2SV es básicamente la misma seguridad de autenticación ofrecida por servicios web como Google , Twitter, PayPal y Facebook, los cuales involucran a los usuarios haciendo que registren su teléfono móvil o uno o más dispositivos para que reciban los one-time code que deben ser introducidos con la contraseña del servicio al que intentan acceder. Este diseño es vulnerable frente a ataques man-in –the-middle y fraudes con SIM-swap, razón por la que Apple quiere que sus usuarios usen two-factor authentication. Además de enviar a los usuarios SMS con los códigos al estilo de 2SV esta opción genera sus propios códigos offline usando una aplicación integrada. Esto suena un poco a la app de Google authenticator, solo que se integra más estrechamente con el Sistema Operativo.
Una interpretación de esto es que Apple está, en efecto, convirtiendo cada uno de sus dispositivos en un token de Hardware capaz de generar códigos offline. Esto es probablemente una exageración ya que un auténtico token de two-factor-authentication siempre es un objeto dedicado específicamente a ello. Todos los tokens generan códigos para probar que están en la posesión del usuario que va a iniciar sesión, mientras que Apple ha emulado este diseño usando software. Google probablemente integrará Authenticator en Android en algún momento, pero sus ambiciones son construir un sistema de autenticación para toda la red, en cambio Apple se centra en sus propios usuarios, lo cual hace que su trabajo resulte un poco más sencillo.
Lo que Apple busca con esto es que sus usuarios comiencen a preocuparse más por la seguridad de sus cuentas y puedan defenderse de un gran rango de ataques, incluyendo los recientes ataques con ransomware a iCloud. Por el momento esta capa extra de seguridad no será obligatoria, pero no se puede descartar que en un futuro lo sea.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...