“Si instalas las betas públicas de iOS 11 o macOS High Sierra este verano y cumples los requerimientos básicos, tu Apple ID se actualizará automáticamente para usar two-factor authentication”
Esto significa simplemente que la gente usando 2SV será actualizada al uso de 2FA y todos aquellos que nunca hayan usado 2SV se quedarán como estaban. Sin ninguna duda, algunos usuarios no tendrán claros los beneficios de actualizarse a 2FA. Two-step verification ha estado disponible para las cuentas de Apple e iCloud desde 2013, mientras que two-factor authentication apareció en 2015 para todos los usuarios corriendo OS X El Capitán o iOS 9 o posterior. El establecimiento de 2SV es básicamente la misma seguridad de autenticación ofrecida por servicios web como Google , Twitter, PayPal y Facebook, los cuales involucran a los usuarios haciendo que registren su teléfono móvil o uno o más dispositivos para que reciban los one-time code que deben ser introducidos con la contraseña del servicio al que intentan acceder. Este diseño es vulnerable frente a ataques man-in –the-middle y fraudes con SIM-swap, razón por la que Apple quiere que sus usuarios usen two-factor authentication. Además de enviar a los usuarios SMS con los códigos al estilo de 2SV esta opción genera sus propios códigos offline usando una aplicación integrada. Esto suena un poco a la app de Google authenticator, solo que se integra más estrechamente con el Sistema Operativo.
figura1: segundo factor de autenticación para acceder a cuenta de Apple.
Una interpretación de esto es que Apple está, en efecto, convirtiendo cada uno de sus dispositivos en un token de Hardware capaz de generar códigos offline. Esto es probablemente una exageración ya que un auténtico token de two-factor-authentication siempre es un objeto dedicado específicamente a ello. Todos los tokens generan códigos para probar que están en la posesión del usuario que va a iniciar sesión, mientras que Apple ha emulado este diseño usando software. Google probablemente integrará Authenticator en Android en algún momento, pero sus ambiciones son construir un sistema de autenticación para toda la red, en cambio Apple se centra en sus propios usuarios, lo cual hace que su trabajo resulte un poco más sencillo.
Lo que Apple busca con esto es que sus usuarios comiencen a preocuparse más por la seguridad de sus cuentas y puedan defenderse de un gran rango de ataques, incluyendo los recientes ataques con ransomware a iCloud. Por el momento esta capa extra de seguridad no será obligatoria, pero no se puede descartar que en un futuro lo sea.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...