Planisys Multi-Factor-Authentication (MFA)

Planisys provee Multi-Factor-Authentication (MFA) para ingresar a PDNS. Este sistema añade una capa adicional de seguridad después de ingresar el e-mail y la clave. Puedes elegir entre dos métodos de autenticación o ambos:

  1. Google Authenticator (o cualquier aplicación TOTP - Timebased One Time Password).

  2. Segundo factor a través del e-mail.

Importante

Es recomendable tener ambos activados, aunque solo se necesita uno de ellos para ingresar, por si se pierde el móvil o se pierde acceso a la cuenta de mail.

Importancia del 2FA en PDNS

La información almacenada en PDNS es crítica para el funcionamiento de prácticamente todos los servicios de los clientes que maneja el usuario. Por esta razón, es importante implementar un segundo paso de autenticación después de ingresar el usuario y la clave.

Aunque el panel de control utiliza HTTPS cifrado, protegiendo las credenciales de posibles ataques en redes Wi-Fi o cableadas, existen riesgos adicionales asociados al dispositivo del usuario. Por ejemplo, si un dispositivo está comprometido con un keylogger, el atacante podría capturar las credenciales de acceso. Sin embargo, con un segundo factor como TOTP o e-mail, el acceso sigue siendo seguro porque el atacante necesitaría superar este paso adicional.

Pantalla de inicio de sesión con MFA

Ventajas del MFA

  1. Google Authenticator: - Genera códigos de 6 dígitos que cambian constantemente con el tiempo (TOTP). - Es una opción altamente segura porque los códigos están sincronizados con el tiempo y no dependen de la red.

  2. E-mail: - Recibirás un código único por correo electrónico cada vez que accedas. - El e-mail para MFA no tiene que ser el mismo que usas para iniciar sesión; puedes configurar uno diferente.

Configuración de Google Authenticator Configuración MFA Email

Configuración recomendada

Se recomienda configurar ambos métodos de MFA (Google Authenticator y e-mail) para mayor flexibilidad. El sistema solo solicitará uno de ellos después del inicio de sesión, según la preferencia del usuario.

../_images/2fa-mail4.png

En caso de error al ingresar alguno de los 6 dígitos del código, se redirigirá al usuario nuevamente a la pantalla de inicio de sesión.

Casos especiales

  1. Pérdida de acceso al e-mail 2FA: - Si el e-mail 2FA se vuelve inaccesible, puedes utilizar Google Authenticator como alternativa. - Puedes dar de baja el e-mail 2FA desde la pantalla correspondiente y registrar uno nuevo.

Pantalla para resetear el 2FA

  1. Pérdida de acceso al móvil: - Si pierdes acceso a tu móvil o necesitas migrar a uno nuevo, puedes usar el e-mail 2FA. - Para reconfigurar Google Authenticator, elimina el código TOTP desde la pantalla correspondiente y escanea un nuevo código QR.

Comportamiento con cambios de IP o navegador

Es importante tener en cuenta que los accesos vía segundo factor son registrados con:

  • Timestamp (marca de tiempo).

  • Dirección IP.

  • Identificación del navegador.

Si el usuario cambia su dirección IP o navegador, el sistema solicitará obligatoriamente el segundo factor, incluso si ha configurado un período distinto (como una vez por semana).

Comentarios finales

En la versión 2.2.2 de PDNS no están implementados otros métodos de segundo factor como:

  • Passkeys (huella digital desde el teclado del dispositivo).

  • Dispositivos de hardware USB o NFC, como Yubikey o Nitrokey.