#2 No sé como lo harán exactamente pero por ejemplo el protocolo TOTP1 de autenticación es habitual llevarlo en el terminal móvil y no está asociado al número de teléfono y no requiere de ningún tipo de comunicación de datos siquiera. Una de las implementaciones de ese estándar es el Google Authenticator2.
De nuevo, no sé exactamente que proponen para el protocolo FIDO pero existe esa posibilidad.
#6 No, no la requiere. El estándar TOTP se basa en un secreto compartido que se puede pasar por código QR o copiar a mano, y una vez se introduce ese secreto compartido el terminal puede generar una cifra de 6 dígitos cada pocos segundos que únicamente conocen aquellos que conocen el secreto compartido. Es decir, el terminal y el servidor que ofrece el servicio.
El intercambio de información únicamente se produce cuando se configura la autentificación y como digo se puede introducir incluso a mano si se quiere, o te puede llegar por correo postal según quien ofrezca el servicio, de manera que no se requiere comunicación de datos ni para la configuración ni para el uso de ese método de autentificación.
Normalmente se usa como complemento a la contraseña, es decir, el usuario se valida en la web con usuario y contraseña y el servicio web le pide entonces que introduzca la clave de 6 dígitos, la cual se suele consultar en el terminal móvil.
#7 pero... abres el móvil y miras el código generado para esa ventana de tiempo? no entiendo muy bien qué tiene de gracia entonces el uso de un móvil...
#8 Si accedes a un servicio web desde el ordenador y consultas en el terminal móvil el código generado estás aumentando el nivel de seguridad de la cuenta, ya que el atacante aparte de tener acceso a tu ordenador o conexión a Internet para interceptar el usuario y contraseña también necesitaría tener acceso al terminal móvil para obtener el código TOTP.
Google por ejemplo permite activar1 este servicio de autenticación extra en sus cuentas, se suele llamar "two-factor authentication" o "two-step verification".
Ahora bien, ¿Qué pasa si pierdo el móvil? Aún no se sabe, aunque ya se ha planteado la posibilidad de marcar nuestro móvil como perdido y bloquear la cuenta hasta que la podamos reactivar.
Comentarios
Qué bonito estar identificado hasta con tu número de teléfono cuando navegas...
#2 No sé como lo harán exactamente pero por ejemplo el protocolo TOTP1 de autenticación es habitual llevarlo en el terminal móvil y no está asociado al número de teléfono y no requiere de ningún tipo de comunicación de datos siquiera. Una de las implementaciones de ese estándar es el Google Authenticator2.
De nuevo, no sé exactamente que proponen para el protocolo FIDO pero existe esa posibilidad.
1 https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm
2 https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
#4 "no requiere de ningún tipo de comunicación de datos siquiera" wtf????
#6 No, no la requiere. El estándar TOTP se basa en un secreto compartido que se puede pasar por código QR o copiar a mano, y una vez se introduce ese secreto compartido el terminal puede generar una cifra de 6 dígitos cada pocos segundos que únicamente conocen aquellos que conocen el secreto compartido. Es decir, el terminal y el servidor que ofrece el servicio.
El intercambio de información únicamente se produce cuando se configura la autentificación y como digo se puede introducir incluso a mano si se quiere, o te puede llegar por correo postal según quien ofrezca el servicio, de manera que no se requiere comunicación de datos ni para la configuración ni para el uso de ese método de autentificación.
Normalmente se usa como complemento a la contraseña, es decir, el usuario se valida en la web con usuario y contraseña y el servicio web le pide entonces que introduzca la clave de 6 dígitos, la cual se suele consultar en el terminal móvil.
#7 pero... abres el móvil y miras el código generado para esa ventana de tiempo? no entiendo muy bien qué tiene de gracia entonces el uso de un móvil...
#8 Si accedes a un servicio web desde el ordenador y consultas en el terminal móvil el código generado estás aumentando el nivel de seguridad de la cuenta, ya que el atacante aparte de tener acceso a tu ordenador o conexión a Internet para interceptar el usuario y contraseña también necesitaría tener acceso al terminal móvil para obtener el código TOTP.
Google por ejemplo permite activar1 este servicio de autenticación extra en sus cuentas, se suele llamar "two-factor authentication" o "two-step verification".
1 https://support.google.com/accounts/answer/185839?hl=en
Me parece una puta mierda y no creo que sustituya a nada. ¿Qué hacemos si no tenemos teléfono o está sin batería?
Ahora habrá que llevar un llavero, si se pierde con tu contraseña te envían otro. Oh...
NSA seal of approval
https://xkcd.com/927/
Ahora bien, ¿Qué pasa si pierdo el móvil? Aún no se sabe, aunque ya se ha planteado la posibilidad de marcar nuestro móvil como perdido y bloquear la cuenta hasta que la podamos reactivar.
Lo tienen todo muy pensado.