phishing defense
2 artículos con esta etiqueta
¿Qué es una contraseña de un solo uso (OTP)? TOTP frente a HOTP frente a SMS, y sus límites
Una contraseña de un solo uso (OTP) es un código efímero de un solo uso que deja de valer al usarse. Tipos: TOTP de app de autenticación (basado en tiempo), HOTP (basado en contador) y SMS-OTP. Resiste bien las contraseñas filtradas y reutilizadas y suele ser el factor de «algo que tienes» en el 2FA. Pero tiene un límite: el phishing con atacante en el medio (AiTM) puede retransmitir una OTP a través de un sitio falso y aun así entrar. La verdadera resistencia al phishing viene de una passkey ligada al dominio. La OTP es «mucho mejor que nada, pero no la meta final».
¿Qué es la autenticación de dos factores (2FA)? Frente a los dos pasos, y la fortaleza de cada método
La autenticación de dos factores (2FA) refuerza la comprobación de identidad añadiendo una prueba de otra categoría —«algo que tienes» o «algo que eres» (un código, una llave o un dato biométrico)— sobre «algo que sabes» (tu contraseña). En sentido estricto no es lo mismo que la verificación en dos pasos (dos comprobaciones, no necesariamente dos categorías). La fortaleza depende del método: SMS/correo < app de autenticación (TOTP) < passkey/llave de seguridad (FIDO2). La postura de este sitio: activa primero algún 2FA en todo, y luego lleva las cuentas clave a métodos que no puedas entregar a un sitio de phishing.