Como habilitar el doble factor de autenticación en Github y otras webs


La autenticación bifactorial (2FA) es una capa de seguridad adicional que se utiliza cuando ingresamos en sitios web o en apps. Con la 2FA, tendrá que ingresar con su nombre de usuario y contraseña y proporcionar otra forma de autenticación que solo usted sepa o a la que solo usted tenga acceso. En el caso de Github aunque no todo el mundo se le exige que habilite 2FA, se recomienda encarecidamente que se realice, porque ciertamente tarde o temprano habrá que hacerlo..( pues al fin al cabo es por nuestra seguridad).

Además ,los propietarios de la organización pueden solicitar que los miembros, gerentes de facturación y los colaboradores externos usen la autenticación de dos fases para proteger sus cuentas personales por lo que lo mas normal es que esta medida de seguridad se haga extensiva a toda la organización.

Afortunadamente existen apps que nos facilitan esta tarea, así que veamos la forma menos farragosa de hacerlo extensible para Github y otros sitios.

El 2FA en Github

WebAuthn (Web Authentication) es una especificación web que permite a los usuarios autenticarse en sitios web y aplicaciones utilizando métodos de autenticación fuertes, como la biometría (por ejemplo, huella dactilar, reconocimiento facial) o dispositivos de seguridad física (como llaves de seguridad USB).Desarrollado por el World Wide Web Consortium (W3C) y la FIDO Alliance, WebAuthn proporciona un estándar abierto para la autenticación en la web, lo que significa que los usuarios pueden autenticarse de manera segura en diversos dispositivos y plataformas sin depender únicamente de las tradicionales contraseñas.

WebAuthn está diseñado para mejorar la seguridad en línea al reducir la dependencia de las contraseñas, que son susceptibles a ataques de phishing, robo y reutilización. Además, ofrece una experiencia de usuario más conveniente y sin fricciones al permitir que los usuarios utilicen métodos de autenticación más seguros y modernos.

Para GitHub y otros sitios web, la segunda forma de autenticación es un código que genera una aplicación en su dispositivo móvil o que envía como mensaje de texto (SMS). Una vez que activa 2FA, GitHub genera un código de autenticación cada vez que alguien intenta iniciar sesión en su cuenta de GitHub.com. Una persona solo puede iniciar sesión en su cuenta si conoce la contraseña y tiene acceso al código de autenticación en el teléfono.

Después de que configure la 2FA, utilizando una aplicación móvil de contraseña de un solo uso y duración definida (TOTP) o mediante mensaje de texto, podrá agregar una clave de seguridad, como una huella dactilar de Apple o Windows Hello. Como no podia ser de otra manera, la tecnología que habilita la autenticación con una llave de seguridad es WebAuthn (el sucesor de la autenticación bifactorial y funciona en todos los buscadores modernos).

Opcionalmente, puede agregar una clave de paso a su cuenta. Las claves de paso son similares a las claves de seguridad, pero sin embargo, las claves de paso cumplen los requisitos de contraseña y 2FA, por lo que puede iniciar sesión en su cuenta en un solo paso. Si ya ha configurado una clave de seguridad para 2FA apta para la clave de paso, es posible que se le solicite actualizar la clave de seguridad para convertirla en una clave de paso en el registro de la clave de paso.

También puede utilizar GitHub Mobile para la autenticación en dos fases después de configurar una aplicación móvil TOTP o mensajes de texto. GitHub Mobile utiliza criptografía de clave pública para proteger su cuenta, lo cual le permite utilizar cualquier dispositivo móvil que hayas usado para iniciar sesión en GitHub Mobile como segundo factor. Ciertamente no esta de mas tener instalada la app de Github en otro dispositivo, pero tenerla instalada no es necesariamente garantía de poder usar 2FA, así que para estar seguros lo mejor es instalar un app de gestión de 2FA ( !aunque haya instalado Github Mobile!)

Aplicaciones de gestión 2FA

Existen bastantes aplicaciones que podemos instalar en nuestro móvil para habilitar el 2FA , como por ejemplo Microsoft Autenticator o Google Autenticator, pero para el caso de Github y otros sitios, una forma más fácil de gestionar todas sus cuentas 2FA es utilizar la aplicación Authy que le permite tener una única aplicación móvil para todas sus cuentas 2FA y puede sincronizarlas en varios dispositivos, e incluso acceder a ellas desde el escritorio.

Localizar la configuración 2FA

En primer lugar instalaremos Authy en su dispositivo buscándola en la tienda de aplicaciones de su dispositivo Android o Ios.

Ahora acceda a su cuenta de GitHub abre el menú desde el icono superior derecho que muestra la imagen de tu cuenta. Seleccione «Tu perfil»

Haga clic en el botón «Editar perfil» de la página resultante. Hay dos botones que puede utilizar, elija cualquiera de ellos.

Por último, seleccione la opción «Seguridad» en el menú de la izquierda, dentro de «Configuración personal».

Es posible que tenga que volver a introducir su contraseña.

Haga clic en el botón «Configurar autenticación de doble factor» arriba a la derecha, y seleccione la opción «Configurar usando una app«.

A continuación, escanee el código QR con Authy( !ojo!, !solamente funcionará ese código QR si lo escanea con la app Authy!).

Una vez que el token esté en Authy, escriba el código 2FA resultante de nuevo en GitHub y haga clic en Continuar.

Por último, haga un registro de los códigos de recuperación. Aunque si utiliza la función de copia de seguridad en Authy, este paso no es importante, no está de más hacerlo y guardarlo en un lugar seguro por si lo necesitáramos en un futuro.

Después de hacer clic en el botón «Activar la autenticación de doble factor», ¡ya está todo listo!

Importante: Si algún sitio le pide que utilice Google Authenticator para la autenticación de dos factores, tenga en cuenta que siempre puede sustituirlo por la aplicación Authy 2FA. Aunque todas estas aplicaciones 2FA funcionan de forma similar, Authy tiene más funciones y permite la sincronización con varios dispositivos, copias de seguridad en la nube y una recuperación de la cuenta más sencilla en caso de que cambie o pierda su teléfono o dispositivo.

¿Que pasa si pierde su terminal donde haya instalado la aplicación de doble factor?

Por motivos de seguridad, los soportes técnicos de GitHub o del sitio que exijan 2FA no deberían poder restaurar el acceso a las cuenta que tengan habilitada la autenticación en dos fases si pierde sus credenciales de autenticación en dos fases o el acceso a los métodos de recuperación de su cuenta. .

Cuando configura la autenticación bifactorial, debería descargar y guardará los códigos de recuperación de dos factores de modo que si pierde acceso a su teléfono, puede autenticarse utilizando precisamente esos códigos de recuperación.

También puede configurar métodos de recuperación adicionales en caso de que pierda el acceso a sus credenciales de autenticación de dos factores.  Si no puede usar ningún método de recuperación, habrá perdido permanentemente el acceso a tu cuenta. Sin embargo, puede desvincular una dirección de correo electrónico vinculada a la cuenta bloqueada. La dirección de correo electrónico desvinculada se puede vincular después a una cuenta nueva o existente.

Más información en https://authy.com/guides/github/

Como lidiar con las cookies


Las cookies son pequeños archivos de texto que se almacenan en su dispositivo (como su ordenador, teléfono o tableta),cuando visitas un sitio web. Estas cookies tienen diversas funciones y se utilizan para varios propósitos:

  1. Mejora de la experiencia del usuario: Las cookies pueden recordar sus preferencias y configuraciones, como el idioma, la ubicación y las preferencias de visualización. Esto ayuda a personalizar su experiencia en un sitio web, haciéndola más relevante y conveniente.
  2. Rastreo de sesiones: Las cookies se utilizan para llevar un registro de la actividad del usuario durante una sesión en línea. Esto permite que los sitios web recuerden quién es el usuario que ha entrado al sitio y qué acciones ha realizado, como iniciar sesión, agregar productos al carrito de compras, etc.
  3. Análisis y estadísticas: Las cookies son útiles para recopilar datos sobre la interacción de los usuarios con un sitio web. Los propietarios de sitios web pueden utilizar esta información para realizar análisis y obtener estadísticas sobre el tráfico, la navegación y el comportamiento de los usuarios, lo que les ayuda a mejorar sus servicios.
  4. Publicidad dirigida: Las cookies son fundamentales para la publicidad en línea. Pueden rastrear sus hábitos de navegación y proporcionar anuncios más relevantes según sus intereses y comportamientos en línea.
  5. Autenticación y seguridad: Las cookies se utilizan para autenticar a los usuarios y garantizar la seguridad de las sesiones. Por ejemplo, cuando inicia sesión en un sitio web, se crea una cookie que ayuda a mantener la sesión activa mientras se navega por diferentes páginas.

Es importante tener en cuenta que, aunque las cookies tienen muchas utilidades beneficiosas, también han generado preocupaciones sobre la privacidad. Algunas personas prefieren controlar o bloquear el uso de cookies para proteger su información personal. Las regulaciones y políticas de privacidad en varios lugares requieren que los sitios web informen a los usuarios sobre el uso de cookies y proporcionen opciones para gestionarlas.

Recientemente hemos visto como muchas páginas webs han pasado de «Aceptar o rechazar cookies» a «aceptar o pagar para no tener cookies» , lo cual se debe a una actualización de la guia sobre el uso de Cookies, elaborada por las agencias de protección de datos.

Por ejemplo en España podemos ver en muchos sitios mensajes parecidos a este:

Ante esta notificación, muchas personas creen que no tienen más remedio que aceptar o pasar todo lo requerido para pagar esa suscripción. Pero no es así, existe algo que puedes poner en tu navegador y hará que no tengas que aceptar esto, le muestro «I still don´t care about cookies«: ,es decir algo así como la conocida extensión «No me importan las cookies»

De acuerdo con las normativas de la Unión Europea, cualquier página web que haga uso de cookies de seguimiento debe obtener el consentimiento del usuario antes de instalarlas, pero puede resultar molesto cuando se navega de manera anónima o cuando se elimina automáticamente las cookies al cerrar el navegador.

Esta extensión generalmente bloquea o oculta las molestas ventanas emergentes relacionadas con las cookies y en situaciones en las que es esencial para el funcionamiento del sitio, automáticamente acepta la política de cookies en tu nombre. Asimismo en ocasiones, acepta todas las cookies, mientras que en otras, solo aquellas categorías necesarias, dependiendo de lo más conveniente. En todo caso es importante destacar que no elimina las cookies.

Si utiliza el navegador Microsoft Edge se puede descargar directamente desde al tienda de Microsoft.

También esta disponible para otros navegadores:

Por ultimo si le interesa como esta hecho ,aquí tiene su página de GitHub con el código y toda las documentación al respecto:

GitHub – OhMyGuus/I-Still-Dont-Care-About-Cookies: Debloated fork of the extension «I don’t care…