Breaking news
Read our blog to learn why privacy matters. And don't forget to get an encrypted mailbox yourself!

Por qué es importante el U2F: cómo funciona y por qué lo necesita.

FIDO U2F es importante para asegurar su proceso de autenticación. Protege tu cuenta de la toma de posesión maliciosa, incluyendo el phishing.

2022-06-17
Why U2F is important: Protect all your online accounts.
Como expertos en seguridad, le recomendamos que proteja sus cuentas con la autenticación de dos factores U2F. Usted utiliza una llave para cerrar la puerta de su casa o su coche, pero sus cuentas en línea son igual de valiosas. Proteja sus cuentas digitales con una llave de hardware U2F, ya que es la opción más segura para proteger sus cuentas. En este post explicamos por qué es importante U2F y cómo funciona.

FIDO U2F explicado

tl;dr: U2F es importante ya que es la opción más segura para proteger tus cuentas. Actívalo siempre que sea posible.

De hecho, U2F es tan importante que todos los servicios de correo electrónico deberían soportarlo.

La razón es sencilla: Tu cuenta de correo electrónico es la puerta de entrada a tu identidad online. Servicios como Amazon, Twitter, PayPal y otros están vinculados a tu cuenta de correo electrónico, y las contraseñas de estos servicios se pueden restablecer fácilmente si un atacante malintencionado ha conseguido acceder a tu buzón.

De eso te protege FIDO U2F. Si se activa en tu cuenta de correo electrónico, por ejemplo con Tutanota, será casi imposible que los atacantes maliciosos se hagan con tu buzón.

¿Qué es FIDO U2F?

U2F (Universal 2nd Factor) es un estándar de autenticación que utiliza una clave para múltiples servicios. Simplifica y eleva la seguridad proporcionada por la 2FA (autenticación de dos factores) ya que no se necesitan controladores ni software cliente.

¿Cuáles son las ventajas de U2F?

  1. Autenticación rápida: Disminuye el tiempo de autenticación
  2. Seguridad sólida: No hay toma de cuentas cuando se despliega completamente
  3. Múltiples opciones: Acceso a casi 1.000 aplicaciones y servicios sin secretos compartidos

¿Cuáles son las desventajas?

Hay una desventaja significativa de las soluciones U2F en comparación con TOTP (que utiliza un secreto compartido): En el caso de U2F no existe la opción de hacer una copia de seguridad de los códigos de recuperación de los secretos compartidos.

Si se pierde una clave de hardware, será imposible iniciar sesión en los servicios y aplicaciones que se aseguraron originalmente con esta clave de hardware. Por ello, la mayoría de los servicios ofrecen una forma de restablecer las credenciales de inicio de sesión para recuperar el acceso.

Por ejemplo, Tutanota ofrece un código de recuperación que debe introducirse junto con la contraseña correcta para restablecer (en este caso: eliminar) una llave hardware U2F perdida. Además, en Tutanota es posible registrar varias llaves hardware. Si se pierde una, los usuarios pueden seguir iniciando sesión con una de las otras llaves U2F registradas.

¿Por qué es importante U2F?

Tutanota supports two-factor authentication with FIDO U2F as this is the 
most secure option tp protect your login credentials.

¿Cómo protege U2F contra el phishing?

U2F - la autenticación de segundo factor con una llave de hardware - es la forma más segura de proteger sus cuentas en línea, especialmente de los ataques de phishing. También es más seguro que la autenticación de segundo factor a través de OTP o TOTP, por lo que en Tutanota recomendamos encarecidamente activar una llave de hardware para proteger su buzón cifrado.

Los correos electrónicos de phishing son cada vez más sofisticados, lo que aumenta el riesgo de caer en este tipo de ataques. El remitente del correo electrónico de phishing suele intentar que hagas clic en un enlace en el que se supone que debes introducir tu contraseña. Si esto ocurre, el atacante puede robar fácilmente su contraseña y hacerse con su cuenta. Sin embargo, si se ha activado un segundo factor en su cuenta, la contraseña será inútil para el atacante y su cuenta estará a salvo.

Además, el inicio de sesión de un usuario con U2F está vinculado al origen; esto significa que sólo el sitio real puede autenticarse con la clave (segundo factor). La autenticación fallará en cualquier sitio falso de phishing, incluso si el usuario fue engañado para que pensara que era real.

¿Por qué debería activar un segundo factor?

  1. U2F aumenta la protección de tus cuentas (como las de correo electrónico, drive, redes sociales).
  2. U2F es la versión más segura de la autenticación de dos factores.
  3. Un dispositivo U2F crea una clave criptográfica para desbloquear tu cuenta.
  4. Los ataques de suplantación de identidad son casi imposibles con U2F.

¿Cómo funciona U2F?

Para el usuario, U2F es realmente sencillo. Puede activar la misma clave de hardware U2F en todas sus cuentas, como Tutanota, Amazon o Twitter. Al iniciar la sesión, se introduce el nombre de usuario y la contraseña, y luego sólo hay que meter la llave hardware tipo USB en el dispositivo y tocarla para terminar el proceso de autenticación.

Desde el punto de vista técnico, el proceso es mucho más complejo. La Fido Alliance explica el proceso de la siguiente manera:

"El dispositivo y el protocolo U2F deben garantizar la privacidad y la seguridad del usuario. En el núcleo del protocolo, el dispositivo U2F tiene una capacidad (idealmente, incorporada en un elemento seguro) que acuña un par de claves públicas/privadas específicas del origen. El dispositivo U2F entrega la clave pública y un Key Handle al servicio online o sitio web de origen durante el paso de registro del usuario."

"Más tarde, cuando el usuario realiza una autenticación, el servicio en línea de origen o el sitio web envía el Key Handle de vuelta al dispositivo U2F a través del navegador. El dispositivo U2F utiliza el Key Handle para identificar la clave privada del usuario, y crea una firma que se envía de vuelta al origen para verificar la presencia del dispositivo U2F. Así, el Key Handle es simplemente un identificador de una clave particular en el dispositivo U2F".

"El par de claves creado por el dispositivo U2F durante el registro es específico del origen. Durante el registro, el navegador envía al dispositivo U2F un hash del origen (combinación de protocolo, nombre de host y puerto). El dispositivo U2F devuelve una clave pública y un Key Handle. Muy importante, el dispositivo U2F codifica el origen solicitante en el Key Handle".

"Más tarde, cuando el usuario intenta autenticarse, el servidor envía el Key Handle del usuario de vuelta al navegador. El navegador envía este Key Handle y el hash del origen que solicita la autenticación. El dispositivo U2F se asegura de haber emitido este Key Handle a ese hash de origen en particular antes de realizar cualquier operación de firma. Si no hay coincidencia, no se devuelve ninguna firma. Esta comprobación del origen garantiza que las claves públicas y los Manejadores de Clave emitidos por un dispositivo U2F a un servicio en línea o sitio web concreto no pueden ser ejercidos por un servicio en línea o sitio web diferente (es decir, un sitio con un nombre diferente en un certificado SSL válido). Esta es una propiedad de privacidad crítica -- asumiendo que el navegador funciona como debería, un sitio puede verificar fuertemente la identidad con el dispositivo U2F de un usuario sólo con una clave que ha sido emitida a ese sitio en particular por ese dispositivo U2F en particular. Si esta comprobación de origen no estuviera presente, una clave pública y un Key Handle emitidos por un dispositivo U2F podrían ser utilizados como un "supercookie" que permite a múltiples sitios en colusión verificar fuertemente y correlacionar la identidad de un usuario en particular."

"El usuario puede utilizar el mismo dispositivo en múltiples sitios de la web - por lo tanto, sirve como llavero web físico del usuario con múltiples claves (virtuales) para varios sitios aprovisionados desde un dispositivo físico. Usando el estándar abierto U2F, cualquier origen será capaz de usar cualquier navegador (o sistema operativo) que tenga soporte U2F para hablar con cualquier dispositivo compatible con U2F presentado por el usuario para permitir una autenticación fuerte."


Historia

El segundo factor universal (U2F) es un estándar abierto que refuerza y simplifica la autenticación de dos factores (2FA) utilizando dispositivos especializados de bus serie universal (USB) o de comunicación de campo cercano (NFC). Le sucede el Proyecto FIDO2, que incluye el estándar W3C Web Authentication (WebAuthn) y el Client to Authenticator Protocol 2 (CTAP2) de la FIDO Alliance.

Aunque inicialmente fue desarrollado por Google y Yubico, con la contribución de NXP Semiconductors, el estándar está ahora alojado únicamente por la FIDO Alliance.

Aquí encontrará una lista de todos los servicios que admiten claves U2F.

Objetivo: autenticación fuerte y privacidad para la web

El ecosistema U2F está diseñado para proporcionar una autenticación fuerte a los usuarios en la web, preservando al mismo tiempo la privacidad del usuario.

El usuario lleva un "dispositivo U2F" como segundo factor que le permite acceder a sus cuentas en línea. De este modo, estas cuentas pueden mantenerse seguras, también frente a los ataques de phishing.

Las llaves de hardware U2F son un gran logro, ya que garantizan que las personas y sus cuentas en línea se mantengan seguras en la web.

CARGAR COMENTARIOS