- Navixy introduce la autenticación de dos factores (2FA) para usuarios finales, mejorando la seguridad en aplicaciones web y móviles.
- Los usuarios podrán verificar su identidad mediante un código de un solo uso enviado por correo electrónico, añadiendo una capa extra de protección.
- Los administradores pueden asegurar las cuentas de usuario con 2FA de forma masiva o habilitarla para cuentas específicas, según los requisitos de seguridad de sus clientes.
Los métodos de inicio de sesión tradicionales, que dependen únicamente de un nombre de usuario y contraseña, son vulnerables a diversos ataques, como el robo de contraseñas y los intentos de phishing. A medida que se recopilan y almacenan más datos de IoT en la plataforma, se requiere una protección adicional contra accesos no autorizados. Reconociendo la creciente necesidad de seguridad de los datos, estamos introduciendo la autenticación de dos factores para nuestras aplicaciones web y móviles. Todos los socios de Navixy ahora pueden ofrecer autenticación de dos factores a sus clientes, según sus necesidades y requisitos de seguridad.
Según Denis Demianikov, vicepresidente de Gestión de Productos en Navixy, esta medida de seguridad ha sido muy esperada, y agregarla era solo cuestión de tiempo.
La introducción de la autenticación de dos factores (2FA) fue un paso natural para Navixy, con el fin de satisfacer la creciente demanda de proteger datos telemáticos sensibles. Al requerir un código de un solo uso enviado por correo electrónico, 2FA proporciona una protección significativa para las cuentas con un mínimo esfuerzo por parte del usuario. Este nivel de seguridad adicional brinda a nuestros usuarios mayor confianza en que sus datos están mejor protegidos contra accesos no autorizados.
– Denis Demianikov, vicepresidente de Gestión de Productos en Navixy
¿Por qué la autenticación de dos factores se ha vuelto imprescindible?
El mercado de soluciones de autenticación de dos factores (2FA) está en crecimiento debido a la mayor demanda de productos seguros, los avances tecnológicos y la expansión de los canales de distribución. Las políticas favorables y las tendencias de privacidad de datos también impulsan este crecimiento, creando la necesidad de una seguridad aumentada y convirtiendo a la autenticación de dos factores en un estándar tecnológico global.
Las estadísticas recientes ilustran perfectamente esta tendencia, afirmando que: las contraseñas débiles o robadas son culpables del 81% de las violaciones de datos con un costo promedio de $4.24 millones por incidente de violación de datos.
No es de extrañar que la autenticación de dos factores se esté convirtiendo en un estándar en todas las industrias impulsadas por datos. Sin embargo, puede ser más solicitada en los campos que requieren medidas de seguridad más estrictas. Algunos ejemplos incluyen:
- Servicios gubernamentales y municipales, donde la seguridad es crítica. La autenticación de dos factores ayuda a proteger el acceso a datos sensibles, como la ubicación de las unidades despachadas y la información personal del personal.
- Las empresas que utilizan equipos costosos, como en la minería y la construcción, se benefician de la autenticación de dos factores, ya que garantiza que solo el personal autorizado pueda localizar el equipo y previene la manipulación de los comandos de control enviados a los dispositivos.
- Para las industrias ricas en datos que requieren cumplir con estándares de seguridad estrictos, implementar la autenticación de dos factores puede ayudar a cumplir con los requisitos regulatorios y evitar posibles multas y problemas legales, al mismo tiempo que establece procesos y protocolos de seguridad de datos.
¿Cómo funciona la autenticación de dos factores?
Como se mencionó, la autenticación de dos factores añade una capa adicional de seguridad a las cuentas de usuario. Requiere dos formas de identificación antes de conceder acceso, combinando algo que usted sabe (como una contraseña) con algo que usted tiene (como un teléfono o un token de seguridad) para proteger mejor contra accesos no autorizados.
La autenticación de dos factores se puede implementar de varias maneras, incluyendo:
- Códigos por SMS o correo electrónico:
Se envía un código de un solo uso por mensaje de texto o correo electrónico, que el usuario debe ingresar para verificar su identidad.
- Aplicaciones de autenticación:
Aplicaciones como Google Authenticator o Authy generan códigos de verificación temporal que se utilizan junto con la contraseña.
- Tokens de hardware:
Dispositivos físicos que generan códigos de autenticación o se conectan a un dispositivo para verificar al usuario.
- Biometría:
Huella dactilar, reconocimiento facial o verificación de voz para confirmar la identidad basándose en rasgos físicos únicos.
Detrás de escena, la autenticación de dos factores sigue varios pasos.
- El usuario comienza ingresando su nombre de usuario y contraseña, como lo haría en un inicio de sesión estándar.
- Una vez que se verifica la contraseña, el sistema solicita una segunda forma de autenticación, como un código enviado por SMS, un código generado por una aplicación o un escaneo biométrico.
- El usuario proporciona el segundo factor, ya sea ingresando el código o completando el escaneo biométrico.
- El sistema verifica la validez del segundo factor y asegura que coincida con el método registrado por el usuario.
- Si tanto la contraseña como el segundo factor son correctos, el usuario obtiene acceso a su cuenta. Si alguno de ellos es incorrecto, se deniega el acceso, añadiendo una capa adicional de protección.
Estos pasos aseguran que, incluso si un atacante roba la contraseña del usuario, aún necesitaría el segundo factor de autenticación para obtener acceso, lo que hace que sea mucho más difícil para los usuarios no autorizados vulnerar la cuenta.
¿Cómo se implementa la autenticación de dos factores en Navixy?
Nuestra primera etapa de implementación de la autenticación de dos factores se centra en generar códigos de un solo uso y enviarlos al correo electrónico utilizado para acceder a la plataforma. Cada código es válido solo por 5 minutos, lo que minimiza la ventana de posible uso indebido. Las solicitudes adicionales están limitadas para prevenir abusos, permitiendo que se solicite un nuevo código solo una vez por minuto.
Protegiendo el proceso de inicio de sesión
Sabiendo que la página de inicio de sesión es el primer paso en el recorrido de un usuario, aseguramos una interrupción mínima al integrar la autenticación de dos factores en el proceso de inicio de sesión existente. El procedimiento habitual de validación de credenciales sigue siendo el mismo, por lo que los siguientes pasos solo están disponibles si la combinación de usuario y contraseña es válida.
Desde la perspectiva del usuario, solo hay un par de pasos adicionales:
- Verifique el correo electrónico para obtener el código de un solo uso. Enviaremos un código de verificación al correo electrónico utilizado para iniciar sesión, con la opción de navegar a la configuración de la cuenta y restablecer la contraseña si la cuenta ha sido comprometida.
- Proporcione el código de un solo uso. La validación del código comienza automáticamente tan pronto como se ingresa o se pega en el campo correspondiente.
Para todos los usuarios con autenticación de dos factores, se realizará una validación del segundo factor en cada intento de inicio de sesión, siempre que la sesión del usuario haya expirado. El proceso de inicio de sesión seguirá siendo exactamente el mismo para los usuarios que tengan desactivada la autenticación de dos factores y para las cuentas de demostración.
Generación de una contraseña de un solo uso
Una vez que se verifican las credenciales de inicio de sesión del usuario, el sistema genera una contraseña de un solo uso (OTP) o código de verificación único con una duración limitada. Es un código de seis dígitos que consiste en números aleatorios del 0 al 9 y que es válido solo por 5 minutos, minimizando el riesgo de uso indebido. Solo un OTP es válido durante este tiempo, asegurando que todos los códigos generados previamente no puedan ser utilizados para la autenticación.
El OTP se comunica de manera segura y rápida al usuario a través del correo electrónico aprobado durante la validación de inicio de sesión/contraseña. Para prevenir abusos e intentos de fuerza bruta, los usuarios pueden solicitar un nuevo código una vez por minuto. Para validar el código proporcionado por los usuarios, verificamos la duración del OTP actual. Si es válido, comprobamos la secuencia de dígitos real:
- Si el OTP del usuario coincide con el OTP actualmente válido, la autenticación es exitosa. Después de una autenticación exitosa, el OTP se vuelve inválido.
- Si el OTP del usuario no coincide con nuestro OTP o ha expirado, la autenticación es denegada y se muestra un mensaje de error.
El número de intentos de validación está limitado por el límite de tasa de llamadas al API de autenticación, asegurando un rendimiento y una seguridad consistentes.
Para limitar aún más los intentos de adivinanza de códigos, hemos restringido la sesión especial de usuario a solo 5 minutos. Después de 5 minutos de intentos fallidos de validación del código o simplemente inactivos, se solicitarán nuevamente el nombre de usuario y la contraseña, y la autenticación comenzará desde el principio.
El diagrama describe los pasos de verificación de identidad, destacando los procesos clave de seguridad como la generación y validación del código de un solo uso.
Mejoras en el API de autenticación de dos factores
Para admitir la solicitud de un segundo factor durante la autenticación, hemos actualizado nuestro API:
- El método
/user/authahora produce un nuevo tipo de sesión especial si se requiere un segundo factor. - Se ha añadido un nuevo método
/user/auth/code/resendpara reenviar un código de autenticación al correo electrónico especificado. - Para verificar el código y recibir el hash de la sesión, existe el método
user/auth/code/verify.
Para una revisión detallada de nuestro proceso de autenticación, consulte la Documentación del Desarrollador.
Cómo configurar la autenticación de dos factores
Los administradores de la plataforma pueden ajustar las configuraciones de seguridad en el Panel de Administración. Actualmente, puede controlar si habilitar la autenticación de dos factores para:
- Todos los usuarios de la plataforma: Para hacer que la autenticación de dos factores sea obligatoria para todos los usuarios actuales de la plataforma, active la configuración en Panel de Administración → Gestión de cuentas → Seguridad. Esto también establecerá el estado predeterminado para todos los nuevos usuarios creados: al transferir usuarios desde otra plataforma o al importar datos de usuarios en bloque, la configuración de autenticación de dos factores se aplicará de acuerdo con su configuración actual.
- Usuarios particulares: Para cuentas específicas que requieren configuraciones personalizadas de autenticación de dos factores, vaya a Panel de Administración → Usuarios → Editar usuario → Autenticación de dos factores.
Tenga en cuenta que la implementación actual solo permite habilitar la autenticación de dos factores para todos los usuarios de la cuenta, incluidos los subusuarios creados en la cuenta principal.
Para configurar la autenticación de dos factores (2FA), puede utilizar nuestro API del Panel actualizada, utilizando las llamadas para leer y actualizar la configuración de 2FA para una lista de usuarios especificados o para todos los usuarios de la plataforma, así como para establecer configuraciones predeterminadas para nuevos usuarios. Obtenga más información sobre nuestro API del Panel en el Centro de Desarrolladores.
Soporte de la plataforma
La función de autenticación de dos factores (2FA) está diseñada para funcionar sin problemas en los diseños web de escritorio y móviles, gracias a las prácticas de interfaz de usuario receptivas.
Los cambios también afectarán la aplicación X-Monitor para iOS y Android y se incluirán en nuestra próxima nueva aplicación móvil para gerentes de flotas.
Conclusión: perspectivas de seguridad con 2FA
La introducción de la autenticación de dos factores marca un hito importante en nuestro compromiso de mejorar la seguridad. A continuación, prevemos que esta función se vuelva más flexible y configurable:
- Permitir que los usuarios finales controlen la configuración de seguridad para sus cuentas y elijan los métodos de autenticación de dos factores que prefieran, para mitigar aún más las amenazas de acceso no autorizado;
- Compatibilidad con más métodos para recibir el segundo factor, como diversas aplicaciones autenticadoras que mantienen el segundo factor seguro en el dispositivo del usuario;
- Agregar opciones avanzadas de configuración para integradores y desarrolladores, como la gestión de la duración del código de verificación y los límites de intentos para reenviarlo.
Animamos a nuestros socios a aprovechar esta poderosa función y experimentar sus beneficios.
