¿Vale la pena configurar la verificación en dos pasos para su cuenta de Google?

Debe sopesar los riesgos del compromiso de la cuenta y el valor de una cuenta contra los inconvenientes de usar la verificación en dos pasos.

Muchas personas registran otras cuentas con su dirección de Gmail. Un atacante que accede a una cuenta de Gmail puede restablecer contraseñas en otros servicios y también secuestrar esas cuentas. Esto es esencialmente cómo se vio comprometido Twitter en 2009 (ver: http://techcrunch.com/2009/07/19…)

Para una Google Apps para su cuenta de Dominio, el secuestro de una cuenta de administrador le permitirá acceder a todos los usuarios y documentos en ese dominio. Creo que vale la pena habilitar la verificación en dos pasos para las cuentas de administrador de Google Apps.

Tenga en cuenta que la verificación en dos pasos realmente solo protege contra contraseñas malas y phishing sin conexión. No lo protege contra el malware que roba cookies o ataques de phishing man-in-the-middle.

(Descargo de responsabilidad: construí esta función mientras estaba en Google).

Related Content

¿Hay alguna manera de hacer que un archivo no se pueda copiar sin autodestruirse o protegerse con contraseña?

¿Qué piensan los empleados federales actuales y anteriores de los EE. UU. Sobre el OPM y los piratas informáticos?

¿Cuáles son sus proyecciones para el campo de la seguridad cibernética?

Quiero entrar en infosec ofensivo. ¿Como llego hasta ahí?

¿Es posible descifrar datos HTTPS usando una clave pública?

Acabo de habilitar esto en uno de nuestros dominios de Google Apps y diría que depende del entorno en el que use su cuenta. Si desea que administre un dominio con varios usuarios diferentes, lo recomendaría.

Muchos usuarios no usan una buena política de contraseñas, lo que significa que es probable que no sea lo suficientemente segura y que no la cambien con la suficiente frecuencia. Al habilitar la verificación en dos pasos, al menos puedo agregar una dimensión adicional a esa seguridad sin tener que presionar a las personas para que cambien (y olviden) sus contraseñas.

Si está en su propio dominio privado, entonces supongo que solo usted puede juzgar cuán segura es su contraseña y con qué frecuencia la cambia. Si te hace sentir más seguro, habilítalo, pero no dejes que las otras medidas de seguridad de contraseña sufran la sensación adicional de seguridad.

Erik Rudling

Esta es una vieja pregunta, pero me he sentido tan frustrado con la autenticación en dos pasos que me siento obligado a opinar.

La autenticación de dos pasos para iniciar sesión en una computadora es fácil y me hace sentir más seguro. Cada treinta días, se me solicita que ingrese el código que Google envía a mi teléfono. El texto llega de inmediato y solo tiene seis dígitos.

La autenticación de dos pasos para las aplicaciones de mi iPhone es muy frustrante. Tengo que estar cerca de una computadora para poder generar una contraseña específica de la aplicación. La pantalla para hacer esto está enterrada profundamente. Tengo que hacer clic en Cuenta, Seguridad, ingresar la contraseña de mi cuenta nuevamente y luego hacer clic en Contraseñas específicas de la aplicación. No creo que nadie que no sea un usuario avanzado pueda navegar constantemente hacia esta página.

No siempre piensa en cuántos servicios de Google usa en su teléfono. Aquí está la lista que se me ocurrió:

  • Correo electrónico (IMAP)
  • YouTube (iniciar sesión para ver sus favoritos, listas de reproducción, etc.)
  • YouTube (iniciar sesión en el nivel del sistema operativo para publicar videos desde la aplicación Photo)
  • YouTube (iniciar sesión con la nueva aplicación para compartir YouTube; reemplaza la instancia anterior)
  • Sincronización de Chrome (esto en realidad fue interrumpido por la autenticación de dos pasos para mí)
  • Google Drive
  • mapas de Google
  • Aplicación Gchat (uso Monal)

La nueva aplicación Google Maps no utiliza una clave específica de la aplicación. Estaba listo para esto, generé mi clave y la ingresé. Lo hice cuatro veces antes de notar que el texto de error rojo decía: “No use una clave específica de la aplicación; use la contraseña de su cuenta en su lugar”. (Simplemente asumí que había escrito mal uno de los 16 caracteres).

¿Qué?

Así que ingreso la contraseña de mi cuenta y Google me envía una clave de autenticación de seis dígitos al igual que lo hace para el correo en mi computadora, pero a diferencia de cualquier otra aplicación en el iPhone. EDITAR: acaba de iniciar sesión en Google Drive, y se autentica de la misma manera que Google Maps.

Hubo algunos casos en los que estaba lejos de una computadora y me di cuenta de que necesitaba instalar una aplicación (Monal para gchat, Google Drive para compartir un documento) pero no pude porque tenía activada la autenticación en dos pasos. Supongo que podría encontrar una manera de navegar a la página de contraseña específica de la aplicación en el navegador de mi teléfono, pero nunca quise intentarlo. Google generalmente ofrece versiones móviles de su sitio, y la navegación nunca parece contener las mismas opciones que la versión de escritorio del sitio.

Google Chrome Sync se rompió (estaba sincronizando dos computadoras de escritorio y dos dispositivos iOS) después de trabajar inicialmente con autenticación de dos pasos. Después de unos días, comencé a recibir errores que decían que mis datos estaban cifrados con una clave específica de la aplicación diferente. Supongo que esto se debió a que generé una nueva clave para cada instancia de Chrome. Un amigo me dijo que usara la misma clave para los cuatro dispositivos (aunque la página de contraseñas dice que no debería necesitar recordar esta clave), así que revoqué todas las claves y generé una nueva. Chrome no lo tomaría porque mis datos se cifraron con una clave diferente. Entonces me di por vencido.

Si tuviera que sentarse y generar todas sus claves a la vez y obtener todos los inicios de sesión posibles atendidos por adelantado, probablemente sería mucho menos frustrante. Buena suerte para que funcione la sincronización de Chrome. Si lo haces, por favor dime cómo.

Erik Rudling

More Interesting

¿Realmente necesitamos contraseñas más fuertes con mayúsculas, números y caracteres especiales?

¿Está protegida su computadora?

¿Cómo acelerarías el proceso de un ataque de diccionario?

¿Qué ventajas / desventajas del modelo de controlador WDF frente a WDM para rootkits y controladores antivirus?

¿Cuál es la solución de seguridad cibernética ideal, dada la sofisticación involucrada en las infracciones diarias que ocurren?

¿Los profesionales de seguridad consideran la clase DoS / DDoS y la ingeniería social como piratería?

¿Podría 'la nube' fallar alguna vez? ¿Hay algo menos que las explosiones EMP que puedan derribarlo?

Cómo eliminar los restos de un virus

¿Cuáles son las universidades de EE. UU. Que ofrecen MS en ciberseguridad / seguridad de Internet con un promedio de GPA y puntaje GRE?

¿Qué deben saber todos sobre la ciberseguridad?

¿Acabo de recibir malware al visitar basscode.org?

¿El uso de dos protecciones de virus como Norton y Malwarebytes se considera redundante, o hay un beneficio al usar ambos simultáneamente?

¿Cómo puede un antivirus derrotar a sitios web y software maliciosos?

Cómo proteger tu privacidad en línea

¿Cuál es el proceso de piratería?