La semana pasada publique un post sobre GArchiver, y cómo este programa había robado las contraseñas de varios usuarios de Gmail, de esta forma era posible usarlas para tener acceso a otros servicios de Google como es el caso de Google Apps.
Google ha mostrado muchos más reflejos de Microsoft que puede estar meses o incluso años, con graves fallos de seguridad en su sistema. Google ha puesto en servicio para sus usuarios de Google Apps Premier Edition (GAPE), la posibilidad de contar con autenticación de usuarios de doble verificación por un costo adicional de $1 al mes. El servicio es proveído por un tercero llamado Arcot.
La autenticación de doble verificación añade un nivel más de seguridad a la clásica pantalla de usuario/contraseña usual en muchas aplicaciones web. El sistema busca en el PC del usuario una clave privada que es instalada en la misma, la primera vez que se loguea exitosamente haciendo uso de este servicio.
Si el archivo conteniendo esta clave privada no está presente en la PC desde donde intenta acceder el usuario, el sistema comienza ha hacer preguntas adicionales cómo fecha de nacimiento, cuatro últimos dígitos del social security, apellido de soltera de la madre, o cualquier otra pregunta establecida por el administrador para verificar la identidad del usuario. De esa forma por más que alguien robe el usuario/contraseña no podra accesar desde una PC diferente a la del usuario, hasta que pruebe que es el usuario.
Como todo sistema de autenticación no es 100% perfecto, pues siempre sera posible que alguien que robe el usuario/contraseña, también pueda robar este archivo de verificación o incluso usar la misma PC del usuario si logra instalar algun sistema que le permita la administración remota de la misma. Pero definitivamente añade una capa más de seguridad, que es útil si nos enfrentamos a un bot, pero definitivamente inútil si nos enfrentamos a un humano decidido a ganar acceso a nuestra información personal.