Google Authenticator es una aplicación fácil de instalar y configurar, la cual se utiliza en procesos de «doble factor» de autenticación que se usan en diversos servicios como Gmail, Instagram, Twitter, Facebook, entre otras redes sociales además de aplicaciones y sitios web que requieren de máxima seguridad para garantizar la confianza de los usuarios. Se considera esta aplicación como un software que basa en la autenticación con contraseña para un solo uso.

Esta aplicación ofrece un código de seis dígitos para que el usuario ingrese en el sistema (además de su contraseña habitual y su nombre de usuario) para que le permita acceder a los servicios que haya decidido proteger con un «segundo factor» de autenticación. Google Authenticator genera también códigos para aplicaciones de terceras compañías, como para los gestores de contraseñas o servicios de alojamiento de archivos.

Descripción técnica y cómo funciona la aplicación

La aplicación Google Authenticator contiene una serie de parámetros que ayudan en la generación de códigos de autenticación con contraseñas de un solo uso, las cuales se destinan a varias plataformas móviles, así mismo, a un módulo de autenticación (PAM) conectable. Los códigos denominados One-time son creados haciendo uso de estándares abiertos que son desarrollados por The Iniatitive for Open Authentication (OATH).

Las implementaciones mencionadas anteriormente, soportan unos algoritmos HMAC-Based One- time password (HOTP) con especificación en la RFC 4226, y el algoritmo Time-based One time password (TOTP) el cual está especificado en la RFC 6238. Aquí el proveedor del servicio, se inicia generando una clave secreta que contiene 80 bits por cada usuario. Esta clave se suministra como en una especie de «cadena» de 16 caracteres codificados en base32, o como un código QR.

El usuario crea un mensaje HMAC–SHA1, usando la clave secreta dada. El mensaje que se genera está basado en el número de periodos de 30 segundos pasados desde Unix epoch, o también, el contador que se incrementa con cada código que se genera. De esta manera, una porción de HMAC es extraída y convertida en un código nuevo de 6 dígitos.

Datos importantes sobre el funcionamiento de Google Authenticator

La aplicación Google Authenticator nos muestra un código numérico de seis dígitos que cambia cada 30 segundos y que se debe usar a fin de verificar nuestra identidad después de iniciada la sesión. Se puede utilizar después de haber instalado en el Smartphone la aplicación y luego de configurar la cuenta que queremos proteger. Eso se puede hacer de manera manual, aunque lo recomendable es escanear el código QR, el cual contiene toda la información de la cuenta y su configuración (es importante destacar que esta aplicación también puede ser utilizada desde una computadora de escritorio).                        

Esta aplicación se encuentra disponible en Play Store (Android) y en la App Store (iOS), al visitar sus enlaces oficinales se puede verificar si son compatibles con nuestro dispositivo móvil además de ver las calificaciones de los usuarios.

Pasos para configurar Google Authenticator

  1. Se procede a activar la verificación de dos pasos en la cuenta y mostrar el código QR.
  2. Escaneamos el código QR con Google Authenticator.
  3. Iniciamos sesión en el sitio web introduciendo el usuario y la contraseña con la que nos registramos inicialmente.
  4. Colocamos en el sitio web el código numérico que es mostrado en Google Authenticator y que vamos a ver en la pantalla del móvil (es muy importante hacerlo rápido porque cambia cada 30 segundos).

Es importante señalar que Google Authenticator no requiere de conexión a internet para poder funcionar. Es así, como el sitio al cual estamos tratando de iniciar sesión, por ejemplo, Google, ya conoce la clave secreta, y, por consiguiente, puede replicar el mismo cálculo que genere el código numérico y proceder a comparar que es el mismo al que ya se ha introducido, de ser positivo, confirmamos la identidad e iniciamos sesión. Adicionalmente, el servicio nos puede recordar en el móvil que ya hemos usado y no nos pedirá más la clave. También, como mencionamos en el artículo anterior sobre el uso de Google Authenticator y Mercury Cash, no es absolutamente imprescindible el uso de la aplicación pues Google también ha creado una extensión para Chrome que funciona exactamente igual que la aplicación en el celular.

¿Qué opinas sobre este tema? ¿Conocías el funcionamiento de Google Authenticator?

Si deseas más información sobre la aplicación de Mercury Cash puedes descargarla en el siguiente enlace.

Imagen de TheDigitalArtist vía Pixabay.com bajo licencia creative commons.


Leave a Reply

Your email address will not be published.