Gestionar los parámetros de autenticación
Los parámetros de autenticación son una preocupación importante para la seguridad de las cuentas de usuario, especialmente para garantizar la protección de los datos privados en el marco del RGPD.
El uso exclusivo de contraseñas se considera obsoleto, por lo que Actito permite a los usuarios "Administradores" de una licencia definir factores de autenticación adicionales.
Esto se hace a través de la aplicación "Autenticación" en el portal de Configuración de la licencia.
Configuración de la página de inicio de sesión
Para elegir el modo de autenticación de la página de inicio de sesión, haga clic en "Editar" en la esquina superior derecha.
Esto permite al administrador elegir uno de los 3 modos de autenticación posibles.
Básica
El modo de autenticación básica es el proceso estándar para iniciar sesión utilizando un nombre de usuario y una contraseña.
La contraseña debe tener al menos 12 caracteres de longitud y debe incluir 3 tipos diferentes de caracteres entre:
-
mayúsculas
-
minúsculas
-
números
-
caracteres especiales
Sin embargo, este método no se recomienda porque no se considera lo suficientemente seguro en comparación con otros.
De hecho, las contraseñas pueden ser comprometidas (phishing, uso repetido de la misma contraseña, ...) en cuyo caso el método básica no proporciona garantías adicionales.
Por razones de seguridad, la autenticación de dos factores se habilita automáticamente al crear una nueva licencia.
Los administradores tienen la opción de desactivarla, pero no se recomienda.
Autenticación de dos factores (Correo electrónico, SMS o aplicación móvil)
El concepto de autenticación de dos factores (o 2FA por "Autenticación de dos factores") consiste en multiplicar las pruebas requeridas para permitir que un usuario inicie sesión.
Para que sea efectiva, el método de autenticación debe combinar dos factores de naturaleza diferente:
-
Algo que el usuario sabe: el principio es el mismo que para la autenticación de un solo factor clásica. Es la contraseña.
-
Algo que el usuario posee: un código enviado a un medio de comunicación propiedad del usuario. Este código de validez temporal debe ingresarse para iniciar sesión.
Tienes tres opciones para enviar el código:
2FA por correo electrónico
El código se enviará a la dirección de correo electrónico asociada con la cuenta de usuario. Dado que recomendamos encarecidamente crear cuentas de Actito basadas únicamente en una dirección de correo electrónico profesional, cualquier persona que necesite iniciar sesión en su licencia podrá recuperar fácilmente el código de su bandeja de entrada profesional.
Dado que se requiere una dirección de correo electrónico para crear cualquier usuario, no se solicitan requisitos adicionales para activar el 2FA por correo electrónico. Sin embargo, esto implica que el envío del código estará asociado con el mismo recurso que el procedimiento de recuperación de contraseña.
2FA por SMS
El código se enviará por SMS a un número de teléfono móvil asociado con la cuenta de usuario. De esta manera, solo una persona que tenga el teléfono podrá iniciar sesión en la licencia. Dado que los teléfonos móviles generalmente se mantienen con uno mismo todo el tiempo, esto permite implementar una seguridad sólida sin causar inconvenientes a los usuarios.
Para habilitar la autenticación de dos factores a través de SMS, se debe proporcionar un número de teléfono móvil válido para cada usuario.
El administrador de licencias puede agregar usuarios existentes a través de la aplicación "Gestionar usuarios".
Cada nueva cuenta de usuario debe tener un número de teléfono móvil válido.
2FA a través de la aplicación móvil
El código se encuentra en la aplicación móvil de autenticación previamente instalada en el teléfono del usuario. Todas las aplicaciones móviles de autenticación (Google Authenticator, Sophos, etc.) son compatibles con el 2FA a través de la aplicación móvil de Actito.
El 2FA a través de la aplicación móvil es más seguro que el 2FA a través de correo electrónico y SMS, ya que no requiere recibir un código por correo electrónico o SMS. Sin embargo, el usuario debe configurar previamente una aplicación móvil de autenticación para poder iniciar sesión. Además, dado que este método de autenticación no depende de la entrega de códigos, no puede haber retrasos en la recepción del código.
En el primer inicio de sesión, el usuario deberá escanear un código QR a través de la aplicación de autenticación con su teléfono móvil. Luego, tendrá acceso a un código de un solo uso. En sus inicios de sesión posteriores, el usuario no necesitará escanear más códigos QR. Solo necesitará acceder a su aplicación móvil de autenticación para obtener la contraseña y proporcionarla en la página de inicio de sesión de la licencia de Actito.
En su aplicación de autenticación, la clave se llamará "login@licence".
Si tiene varias licencias con el mismo nombre en diferentes entornos (por ejemplo, en TESTING), le recomendamos cambiar el nombre de la clave en consecuencia. En la mayoría de las aplicaciones, simplemente mantenga presionada la clave para acceder al botón "editar". De hecho, algunas aplicaciones no permiten tener 2 claves con el mismo nombre.
Restablecimiento de su token
Para facilitar la gestión del 2FA, el administrador tiene visibilidad del tipo de 2FA habilitado para cada usuario.
En la configuración de la licencia, el administrador tiene acceso a esta información aplicando el filtro "modo de autenticación" en las columnas o seleccionándolo en el menú desplegable que se encuentra a la izquierda de la pantalla.
El administrador tiene la capacidad de restablecer el token de un usuario. Esto puede ser útil en las siguientes situaciones: pérdida de un teléfono móvil, eliminación del token,...
Para hacer esto, deberá acceder a la página de Configuración de Licencia < Más < Restablecer Token. Esta funcionalidad solo está disponible para usuarios que utilizan la aplicación de autenticación de dos factores (2FA).
A continuación, se abrirá otra página solicitando la confirmación del inicio de sesión del usuario en cuestión.
Desde la perspectiva del usuario, se debe escanear un nuevo código QR en el momento de la autenticación:
Jerarquía de los modos de autenticación
Dependiendo del modo de autenticación seleccionado por el administrador de la licencia, los usuarios podrán elegir otro modo de autenticación. Sin embargo, no podrán seleccionar un modo que sea menos seguro que el predeterminado.
Aquí está la clasificación en orden ascendente de seguridad para los modos de autenticación en Actito:
-
Básica
-
2FA por correo electrónico
-
2FA por SMS
-
2FA con aplicación móvil
Aquí están los casos prácticos:
-
Si el administrador deja el modo de autenticación como básica para la licencia, entonces el usuario puede elegir un modo de autenticación más seguro o igual (básica, 2FA por correo electrónico, SMS o aplicación móvil).
-
Si el administrador configura el modo de autenticación con 2FA por correo electrónico para la licencia, entonces el usuario puede elegir un modo de autenticación más seguro o igual (2FA por correo electrónico, SMS o aplicación móvil), pero no puede volver a un modo de autenticación menos seguro (básica).
-
Si el Administrador configura el modo de autenticación con 2FA por SMS para la licencia, entonces el usuario podrá elegir un modo de autenticación más seguro o igual (2FA por SMS o aplicación móvil), pero no podrá volver a un modo de autenticación menos seguro (básica o 2FA por correo electrónico).
-
Si el Administrador configura el modo de autenticación con 2FA por aplicación móvil para la licencia, entonces el usuario solo podrá elegir el mismo modo de autenticación (ya que es el modo más seguro), pero no podrá volver a un modo de autenticación menos seguro (básica, 2FA por correo electrónico o SMS).
Iniciar sesión
Para iniciar sesión en su licencia después de activar el "2FA", su autenticación se realizará en 2 pasos.
El primero sigue siendo igual a la autenticación de un solo factor. Debe proporcionar:
-
El nombre de la licencia
-
Su identificador (nombre de usuario)
-
Su contraseña (que sigue vinculada a su dirección de correo electrónico)
Si la combinación de identificador y contraseña es correcta, se le enviará un código por correo electrónico, SMS o en la aplicación móvil, y será redirigido a una segunda pantalla (donde se le recordará el modo de 2FA asociado a su cuenta).
Ingrese el código para acceder a la licencia.
Si hay un error en el código, volverá a la primera pantalla y deberá proporcionar su contraseña nuevamente.
El envío del código también puede servir como una alerta si alguien ha obtenido su contraseña e intenta iniciar sesión en su cuenta.
Si recibes un SMS o un correo electrónico y no has intentado iniciar sesión, ponte en contacto con security@actito.com.
Validez del código
Una vez enviado, el código es válido durante 5 minutos o hasta la próxima solicitud (en cuyo caso solo el nuevo código es válido).
Es posible solicitar el reenvío del código (una vez por minuto), siempre y cuando se vuelva a introducir la contraseña.
La introducción de varios códigos incorrectos consecutivos bloqueará temporalmente la cuenta de usuario.
Desactivado
El modo "Desactivado" significa que el acceso a través de la página de inicio de sesión estándar ya no es posible.
Puedes seleccionarlo solo si se ha activado y configurado el inicio de sesión único (SSO) en tu licencia. De lo contrario, la opción aparecerá en gris.
Para aprender cómo activar el SSO, consulta la siguiente sección.