2FA físico: Security Keys

B

La autenticación de dos factores se puede aplicar usando sólo software (p.e Authy) o usando periféricos físicos, que es la opción que nos va a proporcionar el tope de seguridad (son prácticamente inhackeables). Los precios de éstos dispositivos rondan entre 20 y 50€.

Las apps de 2FA son perfectamente viables siempre y cuando sepamos lo que hacemos. Es decir, habiendo hecho el backup pertinente (una serie de códigos en un papel) y teniéndolo en un sitio seguro. Ya que las apps de 2FA no nos van a proporcionar otra opción para recuperar nuestros tokens, y si lo hacen, desconfiad porque significaría que ellos tienen acceso y también el hacker que los va a hackear en un futuro...

Authy, por ejemplo, da la opción de hacer backup en sus servidores cifrando la información con una contraseña que vosotros teneis que proporcionar (+telefono). Pero volvemos a las mismas, teneis que hacer backup del password del backup, o usar una contraseña sencilla memorizándola y arriesgaros a que os la crackeen (ya sea la propia Authy o algun otro actor malicioso). Ese riesgo ya lo calculáis vosotros mismos si vale la pena o no correr, y si confiáis en el buen hacer de esa compañia. Para ahondar más sobre el tema de aplicaciones 2FA, aquí tenéis un post de @AikonCWD.

Ese paso de backup hace que muchos no quieran tener esa responsabilidad y provoca el temor de perder completamente el acceso a nuestras cuentas por lo que se opta a otras soluciones: periféricos generadores de tokens. Existen diferentes tipos de hardware pero nos vamos a centrar en los que se usan para el usuario medio, que son las Security Keys.

Qué son?

Son chips en forma de pendrive (USB) que han sido diseñados para un único propósito, que es el de autenticar contra aplicaciones/sitios web. Es un buen mecanismo de seguridad ya que vienen a representarnos: es algo único (criptográficamente) que poseemos solo nosotros y que solo funciona con nuestra interacción.

Dónde puedo usarlo?

Cómo se usan?

El primer paso es registrar la llave en el sitio web que queremos securizar, que no es otra cosa que conectar la llave al ordenador cuando nos lo pidan.
El proceso de login es el mismo, después del paso de introducir user/password, se nos pedirá conectar la llave y listo.
Existen variantes contactless (interfaz NFC), con lo que se pueden usar con smartphones incluso.

Fabricantes

Yubico

Compañía sueca asentada desde hace una década, es de las más populares. Las llamadas YubiKeys son ampliamente usadas por distintos tipos de organismos, entre ellos, el Departamento de Defensa de USA. Todos sus modelos son compatibles con el estándar UF2

Entre sus muchos modelos, recomiendo la YubiKey Security Key NFC (la azul).
Tienen tienda en Barcelona .

Nitrokey


Fabricante alemán que les honra por hacer sus productos completametne open source.
Sus llaves son más baratas que las YubiKeys pero también más limitadas (sin NFC).

Onlykey


Estadounidenses. También son open source pero diría que más avanzadas que Nitrokey (puede ser usada como gestor de contraseñas).

Hardware Wallets

Las hardware wallets de criptomonedas (p.e Trezor, Ledger) suelen integrar también la funcionalidad de 2FA. Es posible que prefiráis éstas si queréis un 2x1.

Recomendaciones

  • Sea cual sea el modelo que elijáis, aseguraros de que use el estandar U2F para máxima compatibilidad.
  • Es sumamente importante tener al menos 2 security keys, y tener las dos registradas en la app/sitio web. Porque en caso de accidente, tenéis otra como backup. No hace falta ni que sean de la misma marca. Una la lleváis con vosotros en el llavero, y la otra la guardáis en vuestra casa o la de algún familiar. En caso de robo, si el que os ha robado no conoce donde la usáis ni vuestras credenciales, no le va a servir de nada. Igualmente, entráis en vuestra cuenta con la llave backup y elimináis la otra del registro.
  • Usar las llaves como único método de 2FA con vuestro gestor de contraseñas. Es el mejor combo. El gestor de contraseñas es vuestro punto crítico y lo tenéis que proteger bien. Si usáis las llaves como 2FA y ningún otro método, no dais opción a que os hackeen por ninguna otra vía.

Bonus


Regalo una YubiKey Security Key NFC a quien más la necesite (explicanos si te han hackeado algo importante alguna vez y si lo has pasado mal o algo).
La tengo sin abrir, iba a ser devuelta a Amazon (compré otro modelo, Yubikey 5) pero el transportista nunca vino a recogerla asi que...

Regalada a @3nT3rraDoR

22
3nT3rraDoR

Hola vengo por el Bonus ,

Razón: mi gmail sale en la lista negra esa del otro día

1 respuesta
Akaoni

Genial explicado y gracias por el curro y a @AikonCWD .
Una consulta ; cuando quiero entrar en una web que he registrado 2FA con el pendrive y me pida meter el código lo que tengo que hacer es poner el pendrive en el ordenador o por NFC ( en caso del móvil) y ya automáticamente pone la clase ¿Es así?

Yo tengo actualmente authy y bitwarden, me gustaría tener mayor seguridad.

1 respuesta
B

#3 sí, es automático. En la caso de las yubikeys, es meterla y darle un toque (supongo que las demás tambien).

Nota, el bitwarden gratuito creo que no permite usar llaves 2fa si no es con la opción premium (10$/año)

2 1 respuesta
Akaoni

#4 Tengo pensado pasarme al pro, filtraciones de contraseñas , agregar archivos y otro tipo de seguridad. Miraré esos pendrive que tal van.

darksturm

Desde que hace años me entraron en la cuenta de b.net me he vuelto un fanatico de estas medidas, las veo muy necesarias, de hecho tengo un correo por ahi que lleva años siendo atacado, cualquier medida que tomeis es poca

purpaz0

recomendais esta ? (la cosa seria pillar 2 para tener la copia bien guardadita) me gusta la idea de no depender del movil para autentificacion en dos pasos y poder sustituirlo por esto. y otra cosa, recomendado keepass ? o con bitwarden tambien es compatible ?

1 respuesta
B

#7 Es la que tengo (+ una azul). Es la que lleva más "pijadas", soporta un montón de protocolos, pero sinceramente, con que tenga U2F es suficiente.

Con bitwarden es compatible tanto esa como las azules. Y la gran mayoría de gestores supongo que igual.

No todos los sitios web soportan llaves físicas eso sí, y tienes que recurrir al 2fa por aplicación. Y yo lo que hago es centralizar bitwarden como mi gestor de contraseñas y mi generador de tokens 2fa para todos los sitios web. Únicamente uso las llaves para acceder al baul de Bitwarden.

3 respuestas
purpaz0

#8 al final, no dependes para nada del movil como lo haces tu. tener key para bitwarden y un navegador te basta porque tienes gestor de contraseñas y generador de tokens en el mismo sitio (el unico inconveniente esto del final creo yo)

1
swowy

Me parece muy interesante , hay algún tipo de hilo que reúna todos los elementos para tener seguridad en el pc? y evitar robos etc.

FMartinez

Buen thread, básicamente has puesto las tres opciones más conocidas. Yo estaba por comprar una onlykey, pero con el tema impuestos y tal no sé por cuánto saldrá la cosa... Ahora que lo dices #8 , no recordaba que bitwarden tuviese esa funcionalidad de TOTP.

Nunca fui hackeado, pero sí estuve a punto de perder todos mis tokens y mi acceso al bitwarden cuando perdi el acceso al 2FA y el backup de Aegis casi lo pierdo al haber actualizado la contraseña a una que creia haber puesto pero luego no fue así (menos mal que tenia otra copia de seguridad en un disco duro externo)

Va, me pido esa llavecita que regalas, a ver que tal! Tal vez sea entonces el momento de hacerme Premium en bitwarden xD

Lecherito

Hace tiempo que queria comprarme una yubikey, creo que es el momento...

garlor

y si pierdes o se estropea ese pendrive?

1 respuesta
B

#13 teniendo otra de repuesto, lo he comentado en el post.

Aquí un artículo donde se explica tambien que es la forma correcta: https://www.yubico.com/spare/

garlor

yo lo unico que realmente veo viable es que este ligado a tu persona, que vayas a un sitio, te identifiquen y asi te den una nueva clave o lo que sea que te de acceso de nuevo, todo lo que no sea esto es riesgo a perder el acceso

1 respuesta
kassiusk1

A mi este metodo tampoco me convence mucho, es pensar en perder todas mis cuentas y ya me entra un mareo.

1 respuesta
FMartinez

#16 Perder por que? tienes un codigo de recuperacion de bitwarden si por lo que sea no tienes acceso al 2FA

Este sistema es mucho mas comodo a parte de seguro. Te olvidas de programas 2FA en el movil e incluso puedes proteger tu cuenta root/admin del pc.

1
DjScream3

#1 qué opináis de estas?

https://store.google.com/es/product/titan_security_key

pd: gracias por la info!

1 respuesta
B

#15 rompes con el principio de estas cosas, que es la descentralizacion. Es así como maximizas la seguridad, no teniendo una diana fija que pueda aprovechar un actor malicioso y evitar comprometer la seguridad de un montón de usuarios.

Que pierdas tus dos llaves a la vez es algo que realmente no te va a pasar ni haciendolo mal...

#18 que la nsa te va a tener cogido por los huevos :D
Bromas a parte, 3 llaves por 45€ esta muy bien. Pero personalmente yo huyo de Google.

1 respuesta
AikonCWD

Hasta donde yo sé, Bitwarden te avisa que debes tener otro proveedor 2FA debido a limitaciones, ya que no es compatible con todos los servicios de bitwarden:

Así que solo hay que seleccionar otro proveedor 2FA adicional, eso añade tranquilidad al saber que si pierdes la Yubikey, puedas seguir entrando usando el otro método. Lista de los otros proveedores soportados:

Por últimom siempre hay que generar y guardar los códigos de recuperación. Para que puedas acceder a tu bitwarden incluso si pierdes la Yubikey u otro proveedor que utilices:

Y con todo esto ya podéis estar más tranquilos. Teniendo solo una yubikey estaréis protegidos y sin riesgo de perderlo todo. Eso sí, tenéis que organizar bien la setup y guardar bien los códigos en casa. Impresos en papel o metal.


Edit: Finalmente, en la versión pro de bitwarden, puedes designar un contacto de emergencia. Esa persona designada podrá tener acceso a tu bitwarden o tomar posesión completa de la cuenta en caso de emergencia (Imagina que te mueres lol, que tu pareja pueda administrar tus claves y acceder al banco, etc...): https://bitwarden.com/help/article/emergency-access/

Designas el tiempo de espera para que el acceso de emergencia sea efectivo. Por ejemplo 48hr.

1 2 respuestas
FMartinez

#20 imprimir en metal? commoor??

Nunca veo que recomendéis dejar los codigos en un pendrive encriptado, por ejemplo. Tampoco se rompen tan a menudo xD

2 respuestas
AikonCWD

#21 EL papel es volátil, la tinta, todo... imagina que pasan años y cuando quieras usar el papel no puedas leer el código.
O si se te inunda la casa o un incendio. Con imprimir en metal me refiero a esto:

Es un monedero físico de bitcoins, pero supongo que se entiende. Otra opción sería usar pendrives altamente seguros, resistentes a golpes y desastres. Como los IronKey

1
NeO_PedritO
#8oldFox-64:

centralizar bitwarden como mi gestor de contraseñas y mi generador de tokens 2fa

usando la misma base de datos / cuenta? O dos diferentes bajo el mismo servicio?

Por cierto, por qué pasaste de la azul a la yubi 5? Alguna feature en concreto?

2 respuestas
Thunderhawk

Pues vengo tambien por el interés de la seguridad.. xD Pero esto me suena a chino completamente, aver si alguno me puede aclarar bien.. como funciona, es tipo autentificador de toda la vida? (yo llevo toda la vida usando un generador de codigos de blizzard que compre hace años cuando ni existia el asunto) O es un dispositivo sin el que es imposible acceder a las cuentas que tengas vinculadas ahi? Osea, pongo en mi ordenador entrar a Gmail si no esta ya conectado y para entrar aparte de la contraseña debo conectar el pendrive no? Y todas las webs permiten 2fa? Es que sinceramente es algo que jamas me he informado y ni me habia fijado en ninguna web si daban soporte a eso ya que ni tenia idea sobre ello..

Osea no me queda claro el funcionamiento o el para que de estas.. pero me interesa especialmente ya que desde hace años tengo problemas con un servidor que regento con unos colegas donde compartimos material del curro y propio y no se que cojones hara alguno que cada cierto tiempo tenemos que hacer restauraciones por que se mete gente desde ips de malasia o donde cristo perdio el mechero.. que una pena no tener un misil guiado para enviarlo a esas IPs.. xD En este caso, podria habilitar unicamente el acceso con esos pendrives no? Osea, el pendrive es como un autentificador fisico sin el que es imposible acceder a la web que tengas asociada? Y luego puedo asociar mil webs que simplemente va con el pendrive?

Sorry por la duda estupida pero es que no consigo pillar o entender el funcionamiento de estas llaves xDDD Pero me interesa sobremanera, con el correo tuve un 2/5.. 2 cuentas principales vulneradas y 3 secundarias sin entrar, que pensaba que yo tenia buen cuidado de donde entraba y las unicas cuentas vulneradas son las mias ya que las otras 3 son de familiares que tienen el triple de peligro que yo al no saber usar bien internet.. xD

1 respuesta
FMartinez

#23 el azul solo soporta U2F, el otro TOTP, y varios protocolos mas.

B

#23 ahora me he acordado, es por esa limitación de Bitwarden que menciona #20

La azul me la detecta como la opción 4 U2F, y la negra como opción 2 Yubikey.

1
AikonCWD

#24 Simplificando mucho: Yubikey es exactamente igual que el Steam Guard, el Blizzard Autenticator, etc... un sistema que genera códigos de acceso de un solo uso.

Evidentemente sin el dispositivo no podrás acceder a esas servicios donde lo tengas configurado (a no ser que tires de recovery).

#24Thunderhawk:

Osea, pongo en mi ordenador entrar a Gmail si no esta ya conectado y para entrar aparte de la contraseña debo conectar el pendrive no?

Correcto. Es algo que debes introducir después de poner tu password.

#24Thunderhawk:

Y todas las webs permiten 2fa?

No. Aunque la mayoría de webs importantes tienen 2FA. Lo que pasa que no todas las webs con 2FA soportan yubikey.
Aquí un listado de apps que lo soportan nativamente:

#24Thunderhawk:

En este caso, podria habilitar unicamente el acceso con esos pendrives no? Osea, el pendrive es como un autentificador fisico sin el que es imposible acceder a la web que tengas asociada? Y luego puedo asociar mil webs que simplemente va con el pendrive?

Desconozco si tienen webkit como para implementar yubikey en tu app/servidor por tu cuenta... quiero pensar que sí, pero ni idea. De todas formas si tienes esta necesidad, yo miraría de implementar un TOTP genérico. Que será mucho más fácil.

En resumen: Yubikey simplemente es un "autenticator" físico.

1 1 respuesta
garlor

#19 tienes las dos llaves en tu casa y hay un incendio/robo/inundacion/yoquese, a no ser que una de las llaves la guardes en una caja fuerte de un banco, porque si la guardas en otro piso siempre te la pueden robar etc, esque yo lo de estas llaves lo veo lo mismo que el 321 de los backups

1 respuesta
B

#28 una la llevo con mi llavero y la otra en casa de mis padres. La probabilidad de que a las dos les pase algo en el mismo momento son casi nulas.

1 respuesta
garlor

#29 dentro de 5 años pierdes tu llave, vas a casa de tus padres y no funciona, a no ser que vayas a casa de tus padres cada semana o mes y compruebes que la llave funciona

#21 tienes que pensar en años, incluso decadas, puedes asegurar que un pendrive dejado en un cajon al cabo de 10 años cuando lo necesites va a seguir funcionando?

2 respuestas