A día de hoy la autenticación en dos pasos se está convirtiendo prácticamente en un estándar mínimo en el uso de servicios web. Esto es sencillo: durante mucho tiempo se confió únicamente en las contraseñas como medio de autenticación, y éstas son vulnerables por muy diversas cuestiones: del lado del usuario, no siempre se siguen estándares mínimos a la hora de elegirlas: por ejemplo, 12345, nombres propios o comunes se siguen utilizando de forma extendida y son contraseñas pésimas. También puede darse el caso de que la contraseña se anote al lado del escritorio, añadiendo una vulnerabilidad más, o que siempre se elija la misma para todo, otra práctica desaconsejada ya que ponemos en riesgo todos los servicios que dependen de esa contraseña en caso de verse comprometida. Hace un tiempo escribí un artículo señalando precisamente lo que yo entiendo como buenas prácticas en este ámbito.
La casuística ya se hace más amplia en caso de tener en cuenta problemas más técnicos: comunicacion de datos sensibles en texto plano, ataques de fuerza bruta, bases de datos escasamente securizadas… Por ello siempre que sea posible es recomendable depender de un factor más que no sea únicamente la contraseña. Es aquí donde entra en juego la autenticación en dos pasos, añadiendo un factor más al proceso. En el caso de WordPress que nos toca podemos implantarlo de varias maneras. Voy a comentar las distintas opciones y en función del caso, cada plugin tiene por su cuenta instrucciones sobre cómo instalarlos y demás cuestiones que no voy a resolver aquí.
Pues bien, como comentaba hay plugins de WordPress como Two Factor Auth que permiten que el código de verificación aleatorio se envíe a nuestro correo. Esa es una opción, la más sencilla, que no requiere de mayores complicaciones. Otra opción que en términos estrictos es la que cumple con el concepto de la autenticación en dos pasos es que el código aleatorio se genere en otra aplicación de terceros que tendremos que instalar en nuestro móvil. El plugin Two Factor Auth que te mencionaba anteriormente también permite esta última opción. Otro plugin de WordPress está destinado especialmente para este menester es Google Authenticator.
Si optamos por ésta última opción tendremos que dar algunos pasos más. El plugin (cualquiera de los dos que he mencionado antes) que instalemos en WordPress generará un Código QR (Quick Response Code, Código de Respuesta Rápida) único que tendremos que escanear desde el dispositivo (por ejemplo, el móvil) que se va a encargar de generar los códigos aleatorios. ¿Por qué? Básicamente, es una “negociación inicial” entre las dos plataformas, con ese código el móvil da el visto bueno para confiar en la aplicación (plugin) que hemos instalado en WordPress.
Necesitaremos, por tanto, un esceaneador de códigos QR. Barcode Scanner cumple con esta función a la perfección y la podrás encontrar en la Google Play Store de tu dispositivo. También necesitarás la app en sí que se encargará de generar los números aleatorios que podremos utilizar a la hora de autenticarnos. Nos bastará con Google Authenticator (no confundir con el plugin de WordPress que te mencioné anteriormente y tiene el mismo nombre) también disponible en la Play Store.
Como véis, las opciones son varias y en cada caso tendréis que ver las distintas formas de instalar y configurar la app o plugin que finalmente elijáis. Cosa que por otro lado no es nada difícil ya que en los propios FAQs y guías de instalación de los plugins de WordPress lo explican todo de forma sencilla y gráfica.