Las autenticaciones sencillas para entrar en un sitio, sólo constan de un usuario y contraseña, debido a que existen programas que utilizan fuerza bruta, manejan listas de palabras, listas de contraseñas que ya han sido comprometidas en otros sitios y almacenadas en bases de datos. Y además la mayor parte de los usuarios usan contraseñas que introducen algún nombre, lugar o fecha, y que la IA de algunos de estos programas son capaces de encontrar.
El 2FA aporta un «segundo factor» para verificar que eres tú el que quiere entrar, este procedimiento se realiza de diferentes maneras en función del método: Puede ser una notificación enviada a tus dispositivos, o enviada a una aplicación de autenticación (microsoft authenticator(https://www.microsoft.com/en-us/account/authenticator), por ejemplo, instalada en tu celular), puede ser una contraseña temporal generada en una de esas aplicaciones de autenticación(https://www.microsoft.com/en-us/account/authenticator, (https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=es, etc. ) un código que nos mandan por SMS a nuestro número de móvil, un dispositivo externo que genere contraseñas temporales, o un dispositivo llave de estándard FIDO (https://fidoalliance.org), como el yuvikey( https://www.yubico.com/products/), conectable por Usb, Lightning, Bluetooth o NFC, que desencripta una petición con una clave segura única generada en dicho dispositivo.
De todos los sistemas de 2FA el menos seguro es el envío de SMS con el código, como bien explican en este post de Genbeta https://www.genbeta.com/seguridad/por-que-no-debes-confiar-en-la-autenticacion-en-dos-pasos-a-traves-de-sms, y por eso las compañías se han movido primero hacia las contraseñas temporales en dispositivos y ahora hacia la mayor seguridad del FIDO.
Hay que mencionar que los dispositivos externos tienen el problema de que los puedes perder, por eso si piensas en adquirir uno de estos dispositivos, debes adquirir dos. y en el caso de usar las aplicaciones de autenticación, guardar los códigos de Backup o una copia de seguridad. Ya que si pierdes el dispositivo, no podrás acceder más a tus cuentas.
