• ¡Bienvenido a XenFácil!

    Estás viendo el sitio como Invitado. Para poder participar en este sitio

    y obtendrás privilegios adicionales, acceso a otras áreas y mucho mas.

    ¡Es gratis!


    ¿Ya eres miembro? Inicia sesión

XF1.5 Verificación en dos pasos y mejoras de seguridad

XenFacil.com

Administrador
Mensajes
434
Puntuación de reacciones
57
Puntos
28
La seguridad de la cuenta se ha convertido en un tema candente recientemente. Hay aparentemente interminables historias acerca de la filtración de bases de datos de contraseñas de sitios populares. Debido a que la reutilización de contraseñas es común, hemos empezado a ver intentos de inicio de sesión usando la fuerza bruta y estas contraseñas filtradas. El mantenimiento de seguridad de la cuenta se ha convertido en una gran prioridad. Para ayudar a esto, hemos añadido algunas nuevas características.

Verificación en dos pasos

Verificación en dos pasos, también conocida como autenticación en dos fases, requiere que se proporcionen dos fases de información para iniciar sesión. El formulario general se expresa como "algo que sabes y que tienes". "Algo que sabes" es tu contraseña. "Algo que tienes" es la nueva parte. Has podido ver esto en otros servicios, tal como las cuentas de Google. Si ya te es familiar, entenderás enseguida como funciona en XenForo.

La verificación en dos pasos es algo por lo que un usuario debe de optar tras heberse registrado. Activándolo se incrementa la seguridad a expensas de un procedimiento de inicio de sesión más complejo. Para muchos usuarios --particularmente los que simplemente merodean o los que sólo tienen unos pocos mensajes-- el "valor" de sus cuentas es bajo por lo que el costo puede superar el beneficio. Sin embargo, para usuarios privilegiados, la seguridad extra merece la pena.

Cuando se activa la verificación en dos pasos, iniciarás sesión con tu nombre de usuario o el email y la contraseña del modo usual. Una vez verificados estos, se determinará si es precisa la verificación en dos pasos. Si es así, tendrás que adoptar los pasos adecuados para completar eso. Tras la recepción de dicha verificación, podrás estar conectado de forma normal.

Vamos a ver como funciona cada paso con más detalle...

Verificación en dos pasos: configuración
0-two-step-setup1.png 0-two-step-setup2.png

Para activarla, entra en la página de verificación en dos pasos de la sección de cuenta. Advierte que deberás confirmar tu contraseña antes de poder manipular la configuración de la verificación en dos pasos.

Para activarla, elige simplemente el método de verificación que deseas usar. XenForo cuenta con dos métodos de verificación "primarios":
  • Código de verificación a través de app - usará una aplicación en tu teléfono (tal como autenticador de Google o Authy) para generar un código de 6 dígitos. Este código cambia cada 30 segundos.
  • Confirmación por email - enviará un único email, de un sólo uso, a la cuenta de email asociada con tu cuenta. No es preferible este método sobre el basado en la app ya que si un atacante tiene acceso a tu cuenta, también puede tener acceso a tu email. Sin embargo, es algo ciertamente mejor que nada.
Para activar cualquier método, deberás pasar por el proceso de verificación para comprobar que todo funciona como se espera. Esto le evita ser bloqueado por un sistema que no has finalizado con éxito.

Pueden activarse varios métodos de verificación en dos pasos.

El sistema "proveedor" de la verificación en dos pasos puede extenderse por desarrolladores de terceras partes para agregar diferentes métodos (por ejemplo, soporte YubiKey, varificaciób basada en teléfono/texto, etc).

Existe un tercer método que se activa automáticamente cuando se activa el primer proveedor de verificación en dos pasos: códigos de seguridad. Está diseñado para las emergencias en que no es posible verificar el inicio de sesión por ningún otro método (si no tienes un teléfono, por ejemplo). Cada código de seguridad solo puede usarse una vez y se remitirá un email cuando se use un código de seguridad.

Verificación en dos pasos: Iniciar sesión

Si se tiene activada la verificación en dos pasos, ésta cubre tanto el acceso al panel de control como al foro.

0-two-step-trust.png

Tras verificar la contraseña, si se requiere la verificación en dos pasos, se te llevará a una página como la que se muestra arriba. Por defecto, la mayor prioridad, se ejecutará activado actualmente el método de verificación en dos pasos (la prioridad se configura por el desarrollador.) Si se desea usar un método alternativo, podrás optar por hacerlo en este inicio de sesión.

También te da la opción de confiar en este dispositivo durante 30 días. Puede resultarte familiar esto por otros sistemas de verificación en dos pasos. Si confías en este dispositivo, puedes cerrar e iniciar sesión sin ser requerido para completar la verificación en dos pasos durante 30 días. Esto ayuda a mitigar la molestia que la verificación en dos pasos puede crear.

Cuando se cumplen los 30 días, se te requerirá para completar otra vez la verificación en dos pasos (incluso aunque se haya seleccionado permanecer conectado).

Caso de querer dejar de confiar en un dispositivo o de necesitar revocar esa confianza a otros dispositivos, puedes hacerlo desde la página de configuración de la verificación en dos pasos en el sistema de cuentas:

0-two-step-trust.png

Verificación en dos pasos: Pérdida de acceso

Una preocupación común con la verificación en dos pasos es lo que sucede si se pierde el acceso a todos los métodos de verificación en dos pasos. Hemos tratado de mitigarlo tanto como sea posible.
  • Los códigos de seguridad se generan en esta situación exácta. Si pierdes el móvil o tu email ya no vale, los códigos de seguridad continuarán funcionando. Sin embargo, es necesario guardarlos cuando se generan. Esto es algo que no todos los usuarios van a hacer.
  • Desactivar la verificación en dos pasos solo precisa el acceso con tu contraseña una vez que hayas iniciado sesión. Si los usuarios eligen confíar en el aparato, es muy probable que aún tengan acceso a su cuenta. Una vez verificada su contraseña, podrán cambiar su configuración de verificación en dos pasos según precisen.
  • Finalmente, los administradores pueden ver el estado actual de la verificación en dos pasos y desactivarla fuera preciso:
    0-two-step-admin.png


Notificaciones de cambio de contraseña y de email

Más allá de la verificación en dos pasos, hemos hecho varias mejoras relativas a la seguridad de la cuenta.

Ahora, si se cambia la contraseña, se recibirá un email para hacerte consciente de esto. Normalmente puede ignorarse este, pero sirve como ayuda en la notificación por si alguien hubiera accedido a tu cuente e intentara impedirte el acceso a la misma.

Similarmente, si tu email registrado se cambia, también recibirás un email (en la dirección antigua) para hacerte consciente de esto.



Cambiado el proceso de reestablecer contraseña

El proceso de reestablecimeinto de la contraseña se ha simplificado para ser más amigable al usuario y sin enviar una contraseña por email. Una vez cecibido el email para la solicitud de reestablecimiento de la contraseña, el enlace te permitirá configurar directamente una nueva contraseña. Esto es más acorde a los tiempos actuales para el reestablecimiento de contraseña.



Esto es todo por hoy, pero todavía hay más bajo las mangas...

Un recuerdo: No publicar sugerencias en este tema (even if you feel they are related). Use the dedicated suggestion forum so they can be tracked.

Continúar leyendo...
 

Adjuntos

  • 0-two-step-login.png
    0-two-step-login.png
    19,5 KB · Visitas: 0
Última edición por un moderador:

lms

Administrador
Mensajes
7.741
Puntuación de reacciones
2.163
Puntos
2.613
Sitio web
xenfacil.com
País
España
Versión de XenForo
2.1.x
PayPal
Donar dinero a este usuario
Página web
Web
Chris D dijo:
Really, your users should decide whether they want to enable 2FA or not. Not the other way around. As Mike says, there's no option to prevent users from enabling it. This is a technology you should be promoting to your users, even if it's not one you fully understand or appreciate yourself.
https://xenforo.com/community/threa...-and-security-improvements.99881/#post-947284
Realmente, tus usuarios decidirán si desean activar la verificación en dos pasos o no. No a la inversa. Como dice Mike, no existe una opción para evitar que los usuarios activen esto. Es una tecnología que deberás promocionar entre tus usuarios, incluso aunque no la entiendas completamente o la aprecies por tí mismo.

Salud2
 
Última edición:

lms

Administrador
Mensajes
7.741
Puntuación de reacciones
2.163
Puntos
2.613
Sitio web
xenfacil.com
País
España
Versión de XenForo
2.1.x
PayPal
Donar dinero a este usuario
Página web
Web
Chris D dijo:
There are no user group permissions. Users will use it or not. The only thing we might consider, is forcing for certain usergroups, but at the same time we're not convinced that as a concept is workable.
https://xenforo.com/community/threa...-and-security-improvements.99881/#post-947288
No hay permisos de grupo. Los usuarios pueden usarlo o no. Lo único que podría considerarse, es forzar a ciertos grupos de usuarios, pero no estamos convencidos de que sea viable como concepto.

Salud2
 

Andros

XenForoUser
Mensajes
207
Puntuación de reacciones
28
Puntos
28
País
España
Versión de XenForo
1.5.5a
Página web
Web
Se esta comentando @lms que sea obligatorio para admins y mods, el resto voluntario.
 
Arriba