Buenas,
Acabo de leer en Infoworld que la empresa Arcot desplegará, para Google Apps Premier Edition, un sistema de doble autenticación que denominan Arcot A-OK On-Demand. Este servicio tendrá un coste de un dólar mensual.
La idea es poder ofrecer a la clientela un sistema transparente que ofrezca una capa de seguridad adicional a los usuarios de aplicaciones Google, con la idea de prevenir el fraude y el robo de identidad. El entorno Premier de Google Apps está orientado a profesionales y empresas, con lo que no es descartable que la documentación confidencial generada y alojada por el sistema sea apetecible para los amigos de lo ajeno. Ante este riesgo latente, es normal pensar en proteger mejor los activos.
En este caso, la doble autenticación no se realizará ni con tarjetas, ni tokens ni ningún otro tipo de hardware. El doble factor será un fichero cifrado alojado en el ordenador del propietario/usuario de Google Apps. La presencia del fichero autenticará en segunda instancia a los usuarios del servicio, que tendrán que emplear su usuario y contraseña como factor primario de autenticación. En caso de intentar el acceso desde otros equipos en los que no exista el fichero cifrado, se recurrirá a preguntas secretas para confirmar la identidad del usuario.
Desde el punto de vista de la seguridad, me parece que los dobles factores son interesantes y por tanto, elogiables. En este caso, a mí particularmente no me convence el método, principalmente por tres motivos:
a) El fichero cifrado está ahí, y puede ser atacado. Seguramente, no sea factible explotarlo, pero están abriendo el camino a que se intente, al menos, el criptoanálisis inicial.
b) El fallback a preguntas secretas podría invalidar el sistema, si lo que se pretende es evitar el robo de credenciales. Ante un evento de troyanización, sería factible plantear el intento de captura de las preguntas secretas y sus respuestas, que tendrían que ser, lógicamente, introducidas por el cliente a través de formularios.
c) Yo particularmente no confío en métodos basados en instalar cosas en el equipo de un cliente, sea para lo que sea. Prefiero la doble autenticación física, como las tarjetas de coordenadas o los tokens, que generalmente son más robustos que los métodos software.
No obstante, como iniciativa, me parece interesante. Todo lo que se plantee para la salvaguarda de la información y los datos de los usuarios, y para prevenir el fraude y el robo de identidad, siempre merecerá un aplauso de mi parte.
Un saludo,