Enviar códigos de un solo uso por correo es peor que usar contraseñas
(blog.danielh.cc)- Recientemente, muchos servicios han adoptado el método de inicio de sesión con códigos de 6 dígitos por correo electrónico o número de teléfono
- El usuario ingresa su correo o número de teléfono, recibe un código de verificación de 6 dígitos y lo introduce para iniciar sesión
- Este método provoca vulnerabilidades graves en la seguridad de las cuentas
- Un atacante puede simplemente introducir el correo electrónico de otra persona en un servicio legítimo para solicitar el envío de un código de verificación
- Esto genera el problema de que al usuario le resulta difícil saber si el código recibido realmente corresponde a una situación en la que debe usarse o si se trata de un intento de phishing
- Las herramientas tradicionales de prevención de phishing, como los password managers (administradores de contraseñas), no son efectivas
- En la práctica, este método de códigos de verificación sigue siendo explotado de forma continua
- En el inicio de sesión de cuentas de Minecraft operado por Microsoft también se usa un método similar
- En diversas comunidades en línea y medios como Reddit y YouTube se han reportado múltiples casos de robo de cuentas
Conclusión
El método de autenticación por correo electrónico con códigos de 6 dígitos es más vulnerable de lo esperado en términos de seguridad
- En comparación con el sistema tradicional de contraseñas, el riesgo de phishing aumenta considerablemente
- Aunque se introdujo para mejorar la experiencia del usuario o la seguridad, en la práctica puede provocar resultados peores
Aún no hay comentarios.