Si tu paranoia, o tu riesgo real, está al máximo Google te provee la herramienta para que nadie, pero nadie, pueda acceder a tu mail (salvo ellos, la NSA y adsense, pero esa es otra discusión :D).
Fácil, sin la Security Key en el pen drive en un puerto USB nadie podrá acceder a tus datos, es un método bastante conocido para ambientes corporativos pero ahora vas a poder usarlo en tu querida cuenta de Gmail.
Realmente remueve ataques de phishing, man in the middle y hasta keyloggers, no necesita estar conectado, ni batería, sólo al USB y listo. Considerando que hay muchos pendrives en formato tarjeta hasta podrías llevarlo en la billetera. Actualmente el login de dos pasos requiere que nos envíe Google un SMS para validar que somos realmente nosotros quienes queremos entrar a un sitio, eso obliga a tener conectividad (ej: de viaje y sin SIM del país ni roaming, te quiero ver…)
Para buscar uno compatible el tip son las siglas FIDO U2F ya que no todos sirven para este propósito, el protocolo Universal 2nd Factor (U2F) conformado por la FIDO Alliance busca que no sólo Google y Chrome sirvan para esto sino que otros sitios web también lo incorporen como método de login seguro.
De esta forma con una sola clave se podrá administrar más sitios ¿El problema? con un fierro en la cabeza todos tipearemos nuestro password correctamente así que todavía falta un método de autenticación que detecte que no hay un tipo con una 9mm en tu cabeza o que tienen secuestrada a tu familia sentada sobre 200kg de napalm. Pero eso son sólo detalles!
El único browser con este método es Chrome 38, esperemos que el resto (todos) lo incorporen como método de seguridad opcional.
Via VentureBeat
A nadie se le ocurrió un pass alternativo para caso de estar en dificultades? Seguro que si.
Gustavo Blogudiarieces dijo:
[quote]A nadie se le ocurrió un pass alternativo para caso de estar en dificultades? Seguro que si.[/quote]
existe el email alternativo o el celular para reseteo de clave
ahora, para los casos de tener un fierro en la cabeza, no tengo idea, pero es bastante fácil de implementar
Esto tiene muchos otros usos y es buenísimo. Por el tema firma digital por ejemplo, para poder usar los token-usb en las aplicaciones web, hay que usar el plugin java y luchar con problemas de configuración para poder acceder a los p*tos token desde una página web. No hay (había) forma estándar desde una API JavaScript para acceder a los repositorios de claves y a las llaves hardware, excepto indirectamente a través del plugin de Java (y luchando con él más el repositorio de claves del navegador).
Si la API JavaScript que usa U2F se vuelve estándar (ya hay un borrador del W3C, y en Mozilla por ejemplo ya hay un bug abierto para implementarla también), sería un golaso.
Ojalá todos los browsers principales lo implementen, tanto desktop como móviles.
Muchos desarrolladores vamos a renegar muchísimo menos.
Es algo que no puedo creer qué aún en 2014 no esté resuelto como corresponde, vía una API JavaScript estándar sencilla en el browser.
No saben el bardo mal que es hoy día.
Es una buena opción la del pendrive. Igualmente lo más práctico me sigue pareciendo la opción de "Google Authenticator", una app que instalas en tu cel y no requiere de conexión a internet ni señal de telefonía. Quien sale de su casa sin el cel hoy en día? 🙂