La aplicación para gestión de código segundo factor de autentificación más común y recomendada para el 99% de la gente es sin dudas Google Authenticator, es simple y fácil de usar, sin embargo, cuando se manejan cientos de códigos no es la mejor opción, no es cómoda y si bien en los últimos años mejoro en la posibilidad de recuperar los códigos en caso perdida o falla del dispositivo no siempre fue así.

Si manejas muchos códigos y lo has hecho desde hace mucho tiempo y encima eres un administrador de sistemas paranoico, seguramente hayas evitado Google Authenticator en el pasado y tengas un plan B para evitar perder el acceso a los códigos en casos de desastre.

Por esa razón desde hace muchos años, probablemente más de 10 años, utilizo una aplicación en particular, lo extraño es esta semana la aplicación crasheo en los tres teléfonos a la vez en cuestión de dos días y perdí el acceso a los códigos, en los tres con la misma falla, al intentar actualizar y reinstalar la app en los dispositivos que fallaba, surgió la sorpresa de que la aplicación desapareció por completo de Google Play.

Sin embargo, ser paranoico y tener un segundo plan de respaldo en caso que falle el primer plan, es algo que agradezco porque tiene sus beneficios, por suerte aún me quedaba un plan C, no conforme con tener 3 dispositivos diferentes, mi segundo plan de contingencia eran capturas de pantalla de todos los QR que he agregado con el correr de los años, ese plan de respaldo es el que me permitiría agregar los códigos a una nueva aplicación en caso de que los tres dispositivos fallaran o fueran extraviados sin tener que activar y desactivar 2FA en cada servicio para agregarlos de nuevo a una aplicación diferente a la que usaba.

Ahora en la búsqueda de una nueva aplicación no es sencilla, la elección de una aplicación para gestión de código es una decisión importante que no se pueden tomar a la ligera.

¿Qué debe tener una aplicación de 2FA para ser considerada una buena alternativa?

En primer lugar, debe ser una aplicación que este respaldada por una empresa conocida y seria, siempre se debe evitar a toda costa empresas sin renombre  y sobre todo evitar desarrolladores anónimos, una gran empresa manejará los datos de forma mucho más responsable que un desconocido, tampoco confiar en la cantidad de descargas, que una aplicación tenga 1 millones de usuarios realmente no significa que sea seguro, las aplicaciones muchas veces pasan de dueño en dueño, los cuales las compran para explotar la base de usuarios, no se puede estar seguro quien está hoy detrás de una App y mucho menos quien estará en el futuro.

Por eso es mejor evaluar aplicaciones de empresas multinacionales o al menos de renombre, que difícilmente sean vendidas y que si lo son, por su alto valor serán compradas por otras multinacionales, no por criminales buscando hackear usuarios.

El segundo aspecto es permitir respaldar los códigos y transferir a otro teléfono o dispositivo, si el trabajo depende del acceso a los códigos no es posible tenerlos en un solo dispositivo, los dispositivos se dañan, se pierden y son robados en cualquier momento, así que para asegurar la accesibilidad a los códigos estos se deben poder respaldar y poder transferir de dispositivos con cierta facilidad.

Otro requisito es no sincronizar con la nube de forma obligatoria, puede resultar cómodo y conveniente, sin embargo, cuando algo se sube a la nube queda expuesto a posibles filtraciones y hackeos, que permita hacer respaldos es imprescindible si, sin embargo, es mejor que deje exportar un archivo y poder guardar en un pendrive por ejemplo.

De la mano de lo anterior, es importante que la App no obligue a tener una cuenta online asociada, ni un mail, ni un teléfono, la aplicación debe poder manejarse totalmente independiente de servidores externos, esto es fundamentalmente por seguridad, bajo ningún concepto los códigos deben salir del dispositivo.

¿Cuáles son las mejores opciones?

Tanto Google Authenticator como Microsoft Authenticator son dos empresas que sin dudas podemos confiar en su reputación y en  que los datos serán manejados con responsabilidad, entiéndase por esto que no serán vendidas de un día para otro y terminaran en manos de una empresa China de dudosa reputación, sin embargo, una función que les falta ambas apps es un botón buscar, cuando se manejan cientos de códigos es algo básico para filtrar y encontrar la cuenta correcta rápidamente.

Si bien en ninguna de las dos obliga a sincronizar los datos a la nube, siempre se esta a un clic de hacerlo por error y que los datos se envíen a la nube, además tampoco tiene la función de respaldar los códigos sin pasar por la nube, respaldar a un archivo o otro dispositivo algo siempre necesario en caso pensar en un plan B.

Entre las opciones más populares en la tienda, esta Twilio Authy Authenticator, en lo personal la descarté de entrada porque ni bien abrir la App, pide número de teléfono, seguramente sea como mecanismo de verificación, sin embargo, por un lado se pierde el anonimato y por otro en caso de perder el teléfono en la calle con la linea, quedas bloqueado hasta obtener un nuevo chip si se requiere alguna verificación para restaurar en otro dispositivo, el solo hecho de pedir una línea de teléfono como registro hizo que lo descarte.

Una opción que me pareció interesante es Aegis Authenticator, una aplicación open-source, que desde el punto de vista de la usabilidad parece ser bastante interesante, sin embargo, no llegue a probar, el hecho que no fuera conocida y no es un producto de una empresa grande o reconocida, me genero dudas para confiar en ella.

La siguiente opción que evalúe fue FreeOTP una aplicación de Red Hat una empresa bien conocida en el mundo del software libre, que aunque polémica algunas veces es sin dudas una organización responsable y seria, además tiene funciones de respaldo, el único inconveniente de esta App es que le falta un botón buscar para filtrar códigos más rápido.

En resumen, FreeOTP es una mejora tanto de Google Authenticator como Microsoft Authenticator , en reputación FreeOTP está a la altura de ambas, no tiene los defectos de las primeras en cuanto a la nube o los respaldos, es software libre y el único defecto de FreeOTP es el buscador, algo que ni Google ni Microsoft ofrecen, así que ahí empatan.

La última aplicación que considere fue LastPass Authentificator de los mismos desarrolladores del gestor de passwords LastPass, cumple con el requisito de ser una empresa conocida y que si bien han tenido brechas de seguridad, como justamente no me interesaba subir datos a la nube esto no era una preocupación.

Permite usar la aplicación sin necesidad de crear una cuenta, permite respaldar tanto a un archivo como transferir de teléfono a teléfono todos los códigos mediante un código QR, lo cual es interesantemente sencillo y seguro, evita la posibilidad de dejar algún archivo olvidado en alguno de los dispositivos si se hiciera manualmente y brinda un buscador para filtrar los códigos que tan util es.

Como funcionalidades extra, permite ocular los códigos en la pantalla hasta se pulsa sobre el, además permite visualizar tanto el código actual como el siguiente, algo que es interesante para no estar esperando que cambie el código por uno nuevo cuando falta poco, ello para evitar que expire antes que lo escribamos y pulsemos en ingresar en el servicio que sea.

Otra función interesante es que permite marcar ciertos códigos como favoritos y se muestran en la parte superior de la lista, eso hace más fácil encontrar los más usados frecuentemente sin necesidad del buscador.

Ranking

Evaluando todas las alternativas, para mis necesidades y requerimientos este es el ranking:

  1. LastPass Authentificator
  2. FreeOTP
  3. Google Authenticator
  4. Microsoft Authenticator

Conclusión

Si tienes pocos códigos que administrar y prefieres algo open-source la mejor opción es FreeOTP, sin embargo, si tienes muchos el ganador para mí es sin dudas LastPass Authentificator que reúne todo lo que buscaba en cuanto a privacidad, a seguridad y funciones básicas y además incorpora otras funcionalidades interesantes, que no buscaba aunque sin dudas, pero que hacen la experiencia de usuario mucho más amigable y sencilla.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Discover more from Alvaro De León

Subscribe now to keep reading and get access to the full archive.

Continue reading