Verificación en dos pasos de Google: Evita accesos no autorizados a tu cuenta
Índice de contenidos
- 1. Introducción
- 2. La verificación en dos pasos
- 3. Contraseñas específicas de aplicaciones
- 4. Códigos de seguridad imprimibles
- 5. Google Authenticator
- 6. Conclusión
- Hardware: Portátil MacBook Pro (Intel Core2 Duo 2,53 GHz, 8 GB RAM)
- Sistema Operativo: Mac OS X 10.6.8 Snow Leopard
- Mozilla Firefox 9.0.1
- iPhone 4 iOS 5.0.1
- Google Chrome 16.0.912.77
1. Introducción
Hace unos días me encontré con una desagradable sorpresa. De repente, no podía acceder a mi correo personal de Gmail por IMAP (ni desde el iPhone, ni desde el Mail de Apple) ya que daba error de contraseña incorrecta. Accediendo directamente a Gmail, encuentro el siguiente mensaje de advertencia de Google:
Oops, no suena muy bien. Menos mal que Google ha bloqueado mi cuenta para evitar un uso indebido. Bien por ellos 🙂
Tras recuperar la normalidad de mi cuenta y cambiar la contraseña (si no lo habéis hecho aún, os recomiendo que déis de alta un teléfono o una dirección de mail alternativa en Gmail para recuperar estas situaciones), compruebo si he masacrado a todos mis contactos con spam. Parece que no, menos mal, pero… ¿y la próxima vez?
El problema además dista mucho de ser sólo el mail, sino todos los productos asociados a nuestra cuenta de Google: Calendar, YouTube, Google Docs, …
Obviamente, todas las contraseñas son susceptibles de ser averiguadas, así que ¿qué podemos hacer para evitarnos estas situaciones?
En este tutorial voy a presentaros la solución propuesta por Google para evitar accesos no autorizados a nuestra cuenta: la
verificación en dos pasos. Yo ya lo he puesto en mis cuentas personales, y mucho me extrañaría que tras leer esto no hicierais lo mismo.
2. La verificación en dos pasos
La verificación en dos pasos aporta una capa extra de seguridad a nuestra cuenta de Google. Además del nombre de usuario y la contraseña, debes introducir un código que Google te envía a través de un mensaje de texto (al teléfono que hayas dado de alta) una vez iniciada la sesión.
Esto reduce drásticamente las posibilidades de que otra persona entre de forma no autorizada en nuestra cuenta, ya que necesitaría acceso a nuestro teléfono. Por otra parte, podemos autorizar nuestro ordenador durante 30 días en el primer acceso, manteniendo así la comodidad de la forma de acceso tradicional.
Vamos a ver cómo configurarla.
Entramos en nuestra cuenta de Google, y pulsamos en Configuración
de cuenta:
Y después en Uso de la verificación en dos pasos:
Introducimos nuestro número de teléfono (por defecto nos presentará el empleado para la seguridad de la cuenta), y verificamos el código recibido por SMS:
Marcamos la casilla de recordar ordenador:
y activamos la verificación en dos pasos:
A partir de ahora, cada vez que intentemos acceder en un ordenador nuevo, nos pedirá, además del usuario y contraseña, introducir el código que habrá enviado al teléfono configurado.:
- No marcando la casilla en la primera configuración,
- Accediendo con otro navegador,
- Borrando las cookies de vuestro navegador o
- Accediendo desde otro equipo.
En cada acceso inicial, os dará la opción de recordar la dupla ordenador/navegador empleada durante 30 días.
3. Contraseñas específicas de aplicaciones
Si accedéis a vuestra cuenta de Google desde una aplicación externa (en el caso de Gmail, vía POP/IMAP), lo más probable es que dicha aplicación no admita aún la verificación en dos pasos y no pueda solicitar los códigos. Esto incluye:
- Aplicaciones para smartphones (iPhone, Android, BlackBerry, …)
- Clientes de correo (Apple Mail, Microsoft Outlook, …)
- Clientes de chat (Google Talk, AIM, …)
Para utilizar estas aplicaciones necesitaremos generar una contraseña específica de la aplicación, y emplear dicha contraseña en la aplicación externa en lugar de la contraseña de Google.
Una vez activada la verificación en dos pasos, Google (que para eso es muy listo) nos avisará de la circunstancia anterior (de hecho, en este punto podéis comprobar como vuestro mail por POP/IMAP habrá dejado de funcionar):
Pulsando en Crear contraseñas, accedemos a la página específica de administración de contraseñas de aplicaciones:
de aplicaciones y de sitios, o desde el menú de verificación en dos pasos: Administrar contraseñas específicas de aplicaciones.
Identificamos el servicio:
Y obtenemos la contraseña, que simplemente copiaremos en la aplicación (sin espacios). Además, no hace falta recordarla: si por el motivo que sea la perdemos no tenemos más que generar una nueva (os aconsejo que en ese caso revoquéis la anterior).
Y con esto habríamos terminado. Podéis desactivar cuando queráis la verificación en dos pasos desde el mismo menú de configuración:
Sin embargo, vamos a ver un par de detalles más, para el caso de que no tengamos nuestro teléfono a mano, o no tengamos cobertura (en el extranjero sin roaming, por ejemplo).
4. Códigos de seguridad imprimibles
Para el caso de que necesitéis acceder al correo y no tengáis disponible vuestro teléfono, conviene generar unos códigos de seguridad imprimibles (que podéis guardar protegidos en el ordenador, llevar en la cartera, …), que os permitirán acceder en esa situación.
Para generarlos, desde la página de configuración de la verificación:
Los códigos se generan en bloques de diez, y cada código será válido únicamente para un acceso. Una nueva generación de códigos revoca los anteriores, aunque no hubieran sido empleados:
Y ahora el último detalle, probablemente el más espectacular.
5. Google Authenticator
No deja de ser pesado recibir mensajes cortos cada vez que queremos acceder en un ordenador nuevo. Además, es posible que donde estemos no tengamos cobertura o servicio. Si tenemos un smartphone, disponemos de una aplicación móvil para la gestión de los códigos de acceso: Google Authenticator.
Para acceder a la misma, en la página de configuración:
Pulsando en nuestro modelo de smartphone (iPhone en mi caso), accedemos a la página de configuración, en la que tenemos la URL para la aplicación y, oh sorpresa, un código QR para que la configuración de la misma sea instantánea:
Instalamos la aplicación (gratuita, por supuesto):
Y la configuramos usando el código QR, que tan amablemente nos ofrece Google (la propia aplicación actúa como lector de QR):
Por último, introducimos el código obtenido en la página de configuración:
y ya estamos listos.
Ya tenemos una aplicación para realizar la verificación en dos pasos sin necesidad de mensaje corto ni de cobertura.
Los códigos son válidos sólamente durante medio minuto:
y la misma aplicación vale para todas vuestras cuentas de Google:
Al acceder desde un nuevo ordenador o navegador, ya no enviará automáticamente el mensaje corto, sino que nos solicitará que introduzcamos el código generado por Google Authenticator:
y nos permite, en cualquier nuevo acceso, elegir que método vamos a emplear:
6. Conclusión
Seguro, fácil, cómodo, versátil y simple de configurar, incluso con el detalle de ofrecer un código QR (y un lector embebido en la aplicación) para que ni siquiera tengas que introducir la cuenta en el móvil para Google Authenticator.
En mi opinión, un gran acierto de Google para ofrecernos una capa extra de seguridad para nuestras cuentas de Google. Como os comentaba, yo ya lo he configurado en mis cuentas personales (y en breve en la de la oficina, ya que también está disponible para Google Apps). Ya estáis tardando en hacer lo mismo 😉
Como siempre, espero que os haya resultado útil. Para cualquier comentario, ya sabéis dónde estoy.
Actualización
Y ya está puesto en la cuenta de Autentia con Google Apps 😉
Sólo necesitáis que vuestro administrador de dominio active la posibilidad (luego es elección de cada usuario activarlo para su cuenta)
¡¡ Muy bueno Miguel !!
Muchas gracias Carlos
¡Muy útil y bien explicado, Miguel! A menudo he visto el Google Authenticator para Android, pero sin fijarme demasiado. Ahora seguro que lo configuro. ¡Gracias!