Algunos intercambios, para facilitar la experiencia del usuario, permiten a todos cancelar operaciones complicadas en ciertos escenarios de pago, omitiendo la entrada de la contraseña del verificador de Google.

Siguiendo a GPT para aprender, ¿por qué todos deben habilitar el verificador de Google, por qué es necesario usar un teléfono separado que no esté conectado a la red para instalar el verificador de Google, cuál es su principio criptográfico?

¿Por qué es más seguro "teléfono fuera de línea + Google Authenticator"?

porque es esencialmente una clave secreta (Secret Key) que está solo en tu teléfono y nunca se sube + un reloj matemático.

Puedes imaginarlo como: tienes en tu teléfono un "generador de contraseñas de caja fuerte" que solo tú conoces, el cual cambia automáticamente la contraseña cada 30 segundos. Este generador puede funcionar sin conexión, ya que no necesita datos de ningún servidor.

Cuando activas Google Authenticator, escaneas un código QR que contiene una clave aleatoria de 20 a 32 bytes (Secret). Esta clave solo existirá en dos lugares: tu Google Authenticator (en tu teléfono sin conexión) y el servidor de la plataforma (como el intercambio). Google no conoce tu clave y nadie puede robarla de forma remota, ya que no sube nada. Sin la clave, no puedes generar tu código de verificación cada 30 segundos.

El código de verificación se "calcula", no se "transmite". El verificador de Google muestra un número de 6 dígitos cada 30 segundos, que en realidad no se obtiene del servidor, sino que se calcula utilizando una fórmula matemática basada en la clave + la hora actual. Por lo tanto, puede calcularse sin conexión a internet, lo que lo hace más seguro.

Incluso si los hackers conocen tu nombre de usuario y contraseña, no pueden calcular tu código de verificación, porque los hackers no tienen tu Secret Key (clave) y esta clave nunca saldrá de tu teléfono.

Los mensajes de texto/correos electrónicos pueden ser interceptados o robados, pero un teléfono móvil fuera de línea no. Los mensajes de texto pueden ser: ingeniería social por parte de hackers, cambio de tarjeta SIM por parte del operador; secuestro de la puerta de enlace de mensajes de texto; secuestro del protocolo SS7; aplicaciones troyanas que leen mensajes de texto. Los correos electrónicos también pueden ser: ataques de fuerza bruta, ataques de hombre en el medio, phishing, leídos por troyanas en el navegador. Pero un teléfono móvil fuera de línea que no tiene tarjeta SIM, no está conectado a internet y no tiene redes sociales: los hackers no tienen forma de acceder a él de forma remota. Esta es la "seguridad de aislamiento físico".

¿Por qué el verificador de Google puede funcionar sin conexión?

Porque utiliza un conjunto de estándares criptográficos llamado TOTP, que significa: Contraseña de un solo uso basada en el tiempo. Su característica principal es: solo necesita una clave compartida + tiempo, no necesita red, no necesita servidor, se calcula completamente de manera local.

Usando una metáfora sencilla y clara de un principiante:

Primer paso: compartes una clave secreta (Secret Key) con el servidor, como si compartieras una semilla secreta en una calculadora especial con la plataforma, ambas partes guardan esta clave.

Segundo paso: ambas partes miran al "reloj unificado del mundo", el tiempo es una infraestructura pública, globalmente consistente: un intervalo de tiempo cada 30 segundos (por ejemplo, 1234567890, 1234567920 …), como si dos personas miraran al mismo "cronómetro".

Paso tres: calcular el número con una máquina matemática unificada (HMAC-SHA1). Tanto el Google Authenticator como el servidor ejecutan: código de verificación = HMAC-SHA1( clave + tiempo actual ) % 1,000,000, no te preocupes por lo que es HMAC-SHA1, solo necesitas saber que: es una máquina matemática que mezcla "clave + tiempo" de forma irreversible. Cambiar 1 bit cambiará completamente el número. Ambas partes utilizan la misma clave y el mismo tiempo → obtienen el mismo número de seis dígitos. Debido a que la fórmula es completamente pública y el algoritmo puede ser verificado por cualquiera, no hay puerta trasera, no depende de Google, cualquier persona en el mundo puede hacer su propio autenticador.

¿Por qué Google Authenticator puede funcionar completamente sin conexión? Porque generar un código de verificación solo requiere: una clave (que ya tienes almacenada localmente), tiempo (la hora del sistema del teléfono es suficiente) y una función matemática (HMAC-SHA1, incorporada en la aplicación). Por lo tanto, ninguna de estas partes necesita conexión a Internet; mientras el teléfono tenga batería, calculará.

¿Por qué los teléfonos móviles fuera de línea son más seguros que los teléfonos móviles en línea? Porque los teléfonos móviles en línea pueden tener malware, filtraciones de sincronización en la nube, aplicaciones troyanas, control remoto por hackers, espionaje a través del navegador y copias de seguridad en la nube que pueden ser hackeadas. En cambio, los teléfonos móviles fuera de línea no se conectan a Internet, no inician sesión en cuentas sociales, no instalan tiendas de aplicaciones, no insertan SIM y no encienden WiFi. Aislamiento físico total = alta seguridad. Estos teléfonos se llaman en la industria de la seguridad: Air-gapped device, que es el estándar más alto para los ejércitos, agencias de inteligencia, bancos y sistemas criptográficos.

¿Qué tan seguro es un verificador de Google offline? Para hackear tu 2FA, un hacker debe obtener simultáneamente: tu contraseña de cuenta, la clave secreta en tu teléfono (invisible), acceso físico a tu teléfono offline, copiar la clave antes de que te des cuenta, y calcular correctamente la ventana de tiempo, lo cual es prácticamente imposible.