lunes, febrero 29, 2016

Cuando los mensajes SMS son realmente el First Factor of Authentication

Durante la semana pasada, además de las charlas que me llevaron a que terminara como estoy ahora - completamente devastado - tuvimos la oportunidad de tener una reunión con el equipo de Microsoft en Barcelona, encabezado por el propio Satya Nadella. Como sabéis, en el Mobile World Congress de este año la estrella fue Mobile Connect, que recibió varios premios y mucha atención por parte de todos los medios.

Figura 1: Cuando los mensajes SMS son realmente el First Factor of Authentication

En la reunión, aprovechando que teníamos a Satya delante, le pedí personalmente que se pensara en utilizar Mobile Connect como First Factor of Authentication en Office 365, porque al final, si se confía en un SMS como sistema de recuperación de contraseñas, es exactamente lo mismo que si Mobile Connect fuera el First Factor of Authentication pero más incómodo y menos robusto.

Número de teléfono como recuperación de contraseña

Ya sea vía llamada, o vía mensaje SMS, casi todos los principales servicios en Internet confían en el número de teléfono como forma de recuperar la contraseña. Si has añadido el número a Facebook, Google o Twitter, puedes recuperar la contraseña siempre mediante un envío de un SMS con un OTP que se puede utilizar para poner una nueva contraseña.

Figura 2: Cuenta de Gmail con recuperación de password basada en SMS

Muchos usuarios, realizan este proceso de manera sistemática, ya que se confían en que siempre pueden recuperarla y cada vez que quieren entrar recuperan la contraseña, ponen una nueva, y entran. Esto sucede especialmente en aquellos servicios en los que no se entra de manera continuada, sino de forma esporádica.

Figura 3: Cuenta de Twitter de El Rubius protegida por SMS

Al final si el servicio confía en el SMS como forma de recuperar la contraseña, sería mucho más cómodo para el usuario confiar en el número de teléfono como First Factor of Authentication, vía Mobile Connect. Esto permite que no haya ninguna contraseña que el usuario deba recordar y pueda usar siempre el número de teléfono para autenticarse, pero sin la necesidad de tener que pegarse con las políticas de contraseñas para poner una nueva contraseña en cada caso.

Figura 4: La cuenta de Twitter de Satya está asociada al correo de Microsoft.com.
Los correos de Microsoft.com utilizan el SMS y el Phone Call como 2FA.


Por supuesto, nuestra visión es que hay que darle al usuario todas las posibilidades robustas que se pueda para que él elija en cada caso qué mecanismo quiere utilizar, ya que existen muchas formas robustas de autenticarse y, dependiendo de la casuística, un usuario puede decantarse por una u otra dependiendo de cada caso.

Figura 5: La cuenta Twitter de Pablo Iglesias está asociada la cuenta de Podemos.info.
Podemos.info usa un RoundCube sin 2FA (Solo password). Deberían poner Latch al menos };)

Si confías en el el SMS para recuperar la contraseña, entonces podrías simplificar la vida a tus usuarios simplemente permitiendo que se autentiquen con Mobile Connect, así será mucho más cómodo y aún más robusto, ya que podrías eliminar las contraseñas para muchos usuarios que no deseen utilizar esa forma de autenticarse.

Saludos Malignos!

21 comentarios:

  1. Y así, señores, se convierte el teléfono móvil en la nueva "piedra de clave" de las identidades del usuario.

    ResponderEliminar
  2. Solo llegas unos años tarde

    ResponderEliminar
  3. @Anónimo 1 y Anonimo 2. No habéis entendido el artículo en el que se dice que si: "Ya estás usando el SMS para recuperar la contraseña entonces es como si el SMS fuera el First Factor of Authentication" y por eso tiene sentido Mobile Connect. Es fácil de entender. Leedlo otra vez con calma.

    Saludos!

    ResponderEliminar
  4. Eres tu quien no lo ha entendido. Lo que se usa es el SMS y la combinacion con el correo, CORREO chema, correo... esta cosa que se asimila al buzon de tu casita. Es la combinacion de ello, por lo que una combinacion no es una unica cosa. Hola soy coco, esto es un SMS y esto es un correo, ambos son un sistema de autenticacion. Son dos.

    ResponderEliminar
  5. A mi de todo eso lo que no me gusta es tener que centrar toda la autenticacion en el telefono, es como centralizar el acceso a todos tus servicios en un solo terminal. Llamadme excesivamente paranoico, pero no quiero salir de casa y andarme preocupando del telefono porque si lo pierdo o me lo roban obtienen acceso a todo. Es un avance, pero las contraseñas funcionan tambien como medio disuasorio y me parece que muchas veces se os olvida eso.

    ResponderEliminar
  6. @Anónimo, con el mensaje al SMS es suficiente. Revisa tus conceptos.

    @Juan Iglesias, lo que se trata es de dar múltiples opciones robustas al usuario, para que le sean usables, entre todas cubran la universalidad de los casos y estén bajo el régimen legal correspondiente. Esa es nuestra visión, no una u otra.

    Saludos!

    ResponderEliminar
    Respuestas
    1. @Maligno yo es que por lo que voy viendo por ahi con vuestro Latch y todas esas soluciones es que se centran basicamente en el terminal movil, y basta instalar una aplicacion chunga para que te dejen sin acceso a tus servicios. Me parece que se deberia hacer quizas un dispositivo tambien mas robusto que integrara por ejemplo Latch con desbloqueo mediante huella dactilar y sin opcion a instalar mas aplicaciones que puedan ser maliciosas.

      Eliminar
  7. Si que es cierto que depender de un solo terminal puede mermar un poco la seguridad, pero la seguridad está en la sim no en el terminal en sí, en caso de pérdida se podría hacer un duplicado y cancelar el servicio en ese número, otra posible opción sería usar la pass normal, latch y mobile connect y dependiendo de la importancia del servicio que se tengan que usar al menos dos o los tres sistemas.
    Por último podría hacerse una bahía para el pc (si no existe ya, que seguramente sí) para usar el dni-e como sistema de autenticación y ya integrarlo en los servicios en los que se requiera, así como para iniciar sesión, por ejemplo en cuentas de usuario de admin

    ResponderEliminar
    Respuestas
    1. Con respecto a la Sim estaban hablando de llegar a eliminarla completamente y aun asi los datos contenidos en el terminal estarian comprometidos totalmente. Pienso que los usuarios no estan concienciados y la tecnologia avanza demasiado rapido, parece que nos dedicamos actualmente a poner parches en vez de buscar una solucion mas plausible. DNIe claves publicas, cerrojos virtuales... Latch es un avance muy importante, pero lo que digo es que no pienso que basarlo todo en el numero de telefono de la gente sea la solucion a largo plazo, lo biometrico esta bien unido a otras tecnologias, pero tampoco es plan meternos a hacer capas de autenticacion, eso solo retrasaria a un atacante a mi parecer. Por ejemplo, utilizar Latch, que no se si se puede la verdad, para que en vez de abrirte el acceso a un servicio desde cualquier punto, te lo abriera desde el user-agent del navegador y S.O que usas habitualmente y lo tenga cerrado para el resto. Latch en un dispositivo en local que no sea un objetivo tan atractivo para un ladron o algo asi...

      Eliminar
  8. Respecto a las huellas dactilares, había explicado Chema que son inseguras, ya que si se copia una sola vez a una persona, es insegura por siempre, para ella.

    ResponderEliminar
  9. Me pregunto si Mitnick podría hackear la autenticación que se realiza mediante el móvil

    ResponderEliminar
  10. Borrando comentarios que no favorecen a Telefónica? wat?

    ResponderEliminar
  11. @anónimo, yo no he borrado ningún comentario... What?

    ResponderEliminar
  12. @anónimo confirmo que nadie ha borrado nad aquí, llevo discutiendo en este post desde las 8 de la mañana...

    ResponderEliminar
  13. Pues juraría que dejé escrito un comentario... bueno, ese caso disculpa y vuelvo a ponerlo.

    Dije algo como que fíate tú de telefónica y demás compañías de telecomunicaciones, que siempre intenta exprimir al consumidor.
    Un servicio.. gratis? Nadie da nada gratis a estas alturas, y menos estas compañías.
    Que sí.. será tan seguro y bonito como lo quieras pintar (qué remedio, si trabajas con ellos), pero que no me fío!

    Por cierto, también me picó la curiosidad y probé Latch.
    Tanto que dices que las contraseñas son inseguras y esa app lo único que requiere es contraseña :S

    Un saludo!

    ResponderEliminar
  14. @anónimo supongo que a tu comentario se aplica lo que @Maligno me dijo a mi antes: "dar múltiples opciones robustas al usuario, para que le sean usables" Latch está protegido por contraseña si, y aunque Chema siempre diga que son inseguras es lo que queda usar hasta encontrar y poner en marcha algo mejor, pero por ahora han puesto en manos de la gente una herramienta más de protección.

    Y con respecto a las compañías, yo me considero bastante paranoico y desconfío de ellas, harías bien haciendo lo mismo, pero espero que con las redes sociales tan en auge y las compañías mucho más cerca del usuario final, empiece a haber un cambio y nos escuchen más. Yo por mi parte desconfío e investigo antes de invertir mi dinero o instalar algo, si me convence sigo adelante, estás en todo tu derecho a pensar que no dan nada gratis, pero por ahora no ha dado ningún problema.

    Aparte el CEO de Eleven Paths se molesta en venir a contestar nuestras idas de olla de vez en cuando... XD

    ResponderEliminar
  15. Sé, y se agradece que lea los comentarios y nos responda.

    Soy Pro Chema Alonso y Anti compañías telecos. Y eso choca! xD

    ResponderEliminar
  16. Hola amigos, nuestra visión es que un sistema de autenticación de usuarios tiene que ser:

    1.- Universal: Cubrir todas las posibilidades de autenticación, lo más robustas posibles, que quiera el usuario y que requiera el sistema. Y por supuesto no tiene por qué ser una única solución.

    2.- Usable: El usuario tiene que poder elegir lo más cómodo en cada momento para él cumpliendo los mecanismos permitidos por el sistema.

    3.- Compliance: Tiene que cumplir todos requerimientos de seguridad que exija cada certificación o ley para cada sistema.

    4.- Robusto: No debe ser fácil de hackear.

    Por ello, creemos que no basta con una única tecnología y apostamos por SmartID (autenticación con NFC, RFID, Digital Certificate, SmartCard, DNIe, DNIe3.0), Mobile Connnect, SealSign, Pass+Latch y Pass+SMS-OTP, OTP, o TOTP.

    Todo esto conviando daría al usuario una miriada distinta de elección en cada sistema que cumpliría las cuatro reglas. Lo que dice en el artículo es que, si el sistema de recuperación de contraseñas es por SMS, entonces el 2FA no existe y con el SMS tienes el First Factor of Authentication porque es a su vez el sistema para recuperar las passwords y el 2FA. En esos casos, mejor pon Mobile Connect que es más robusto, seguro y cómodo. Es fácil de entender.

    Por cierto, Mobile Connnect no es de Telefónica, es de la GSMA, nosotros lo implementamos en Telefónica, pero no es nuestro.

    Saludos!

    ResponderEliminar
  17. Ni Facebook ni Google tienen mi número de teléfono. En lugar de olvidar las contraseñas y tener luego que recuperarlas, siempre las anoto en un libro de claves. Ahora utilizo MultiPasswords en el iPhone.

    ResponderEliminar
  18. Hola, si he entendido bien la solución Mobile Connect garantiza la identidad y privacidad del usuario gracias a la encriptación de la tarjeta SIM?

    ResponderEliminar
  19. La crítica a las telco se entiende @Anónimo pero considerando que por las Telco pasa TODA tu información, incluso los SMS que estamos usando para autenticarnos y estas (al menos en Argentina, ) tienen acceso a leer estos. { Movistar/Telefónica en argentina te permite ver los mensajes que enviaste desde su web previo login}.

    Pero la verdad es que si no lo implementa una telco de manera "gratuita" en envió de SMS por parte de servicios privados es MUY caro (al menos en argentina). Y la seguridad "punto a punto" desde tu servicio a tu móvil es bastante buena y con menos intermediarios que por ejemplo un correo electrónico donde ni siquiera sabes si viajo en claro.

    Andrés

    ResponderEliminar