Authy: añade autenticación en dos pasos a tus aplicaciones

Se trata de una herramienta gratuita que te proporciona una API REST sencillísima para implementar la autenticación en dos pasos.

 

La autenticación en dos pasos es un sistema extra de seguridad usado por las grandes empresas de Internet para dar un plus de seguridad a las cuentas de los usuarios que acceden a ciertos servicios o aplicaciones (como podemos configurar con Google,Microsoft o Dropbox entre otros servicios).

 

¿En qué consiste la autenticación en dos pasos?

La autenticación en dos pasos o de doble factor añade una capa de seguridad extra a la clásica combinación de usuario y contraseña, con el propósito de evitar que cualquier persona que adivine tu usuario y contraseña pueda acceder a una cuenta de un servicio sin el código extra de autenticación.

Este código extra tiene tres puntos a favor de la seguridad (en el caso de TOTP): el primero es que solo se genera en un dispositivo que en condiciones normales únicamente lo lleva encima el usuario legítimo de la cuenta, el segundo es que varía cada 30 segundos, por lo que alguien que ve este código no podrá usarlo pasado cierto tiempo y por último es que la clave no es reutilizable.

Basado en TOTP

La forma más cómoda de crear esta capa extra de seguridad es usar el llamado Time-based One Time Password o contraseña basada en el tiempo de un único uso. Aunque existen otros métodos como es el envío de SMS, las llamadas telefónicas y muchas otros más.

En el caso de TOTP y resumiendo el proceso, se le facilita al usuario un token o código QR con el token, que leerá la aplicación autenticadora para tener la capacidad de generar claves.

Estas claves se generan a partir de la fecha y hora de ese mismo instante y el token, variando estas cada 30 segundos. Obviamente el servidor tiene también la capacidad degenerar estas claves y así compara la dada.

Authy hace transparente el proceso

Authy es un servicio (que también dispone de aplicaciones autenticadoras) que nos resume todo este proceso en dos funciones a través de su API:

·  Adición de nuevos usuarios, del cual necesitamos el email y teléfono con su correcto código de región.

·  Verificación de las claves.

Primeros pasos en Authy

Lo primero es registrarnos en el servicio, donde posteriormente nos permitirán crear una aplicación para poder usar la API.

Desde el servicio de Authy disponemos de toda la información relativa al servicio y a nuestros usuarios (email asociado, numero de usuarios, estado…). También hay una gráfica con las llamadas a la API, los usuarios nuevos, los SMS o llamadas realizadas (en el caso de usar este método complementario) y las autenticaciones realizadas.

Más funcionalidades

Estas son las funcionalidades básicas, ya que el servicio dispone de envío de SMS y llamadas como método alternativa a la app.

Dispone de una documentación para encontrar todas las funcionalidades extras de la API, aunque tiene APIs en varios lenguajesque nos facilitan aún más las cosas,además de tener un plugin para WordPress y poderse usar en Open VPN.

El usuario

El usuario para poder usar esta API necesita la aplicación auntenticadora de Authy, que es similar a Google Authenticator y tiene compatibilidad con la doble autenticación de su propio servicio y del existente que usa Google Authenticator (aunque todo sea dicho, la app es mucho más bonita y configurable que la de Google, si queréis saber más de ella puedes leer este artículo enXataka Móvil).

 

Link: https://www.authy.com/

 

 

 

 

 

 

 

Fuente: http://www.genbetadev.com/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *