Planisys Multi-Factor-Authentication (MFA)

A Planisys fornece Multi-Factor-Authentication (MFA) para acessar o PDNS. Este sistema adiciona uma camada extra de segurança após inserir o e-mail e a senha. Você pode escolher entre dois métodos de autenticação ou ambos:

  1. Google Authenticator (ou qualquer aplicativo TOTP - Timebased One Time Password).

  2. Segundo fator através do e-mail.

Importante

É recomendável manter ambos ativados, embora apenas um deles seja necessário para acessar, caso o celular seja perdido ou o acesso à conta de e-mail seja perdido.

Importância do 2FA no PDNS

As informações armazenadas no PDNS são críticas para o funcionamento de praticamente todos os serviços dos clientes administrados pelo usuário. Por esse motivo, é importante implementar uma segunda etapa de autenticação após inserir o usuário e a senha.

Embora o painel de controle utilize HTTPS criptografado, protegendo as credenciais contra possíveis ataques em redes Wi‑Fi ou cabeadas, existem riscos adicionais associados ao dispositivo do usuário. Por exemplo, se um dispositivo estiver comprometido com um keylogger, o invasor poderá capturar as credenciais de acesso. No entanto, com um segundo fator como TOTP ou e-mail, o acesso continua seguro, pois o atacante precisaria superar esta etapa adicional.

Tela de início de sessão com MFA

Vantagens do MFA

  1. Google Authenticator: - Gera códigos de 6 dígitos que mudam constantemente ao longo do tempo (TOTP). - É uma opção altamente segura porque os códigos são sincronizados com o tempo e não dependem da rede.

  2. E-mail: - Você receberá um código único por e-mail toda vez que acessar. - O e-mail usado para MFA não precisa ser o mesmo utilizado para iniciar sessão; você pode configurar um diferente.

Configuração do Google Authenticator Configuração MFA Email

Configuração recomendada

Recomenda-se configurar ambos os métodos de MFA (Google Authenticator e e-mail) para maior flexibilidade. O sistema solicitará apenas um deles após o login, de acordo com a preferência do usuário.

../../_images/2fa-mail4.png

Em caso de erro ao inserir algum dos 6 dígitos do código, o usuário será redirecionado novamente para a tela de início de sessão.

Casos especiais

  1. Perda de acesso ao e-mail 2FA: - Se o e-mail 2FA se tornar inacessível, você pode utilizar o Google Authenticator como alternativa. - Você pode remover o e-mail 2FA na tela correspondente e registrar um novo.

Tela para redefinir o 2FA

  1. Perda de acesso ao celular: - Se você perder acesso ao seu celular ou precisar migrar para um novo, pode utilizar o e-mail 2FA. - Para reconfigurar o Google Authenticator, remova o código TOTP na tela correspondente e escaneie um novo código QR.

Comportamento com mudanças de IP ou navegador

É importante considerar que os acessos via segundo fator são registrados com:

  • Timestamp (marca de tempo).

  • Endereço IP.

  • Identificação do navegador.

Se o usuário mudar seu endereço IP ou navegador, o sistema solicitará obrigatoriamente o segundo fator, mesmo que tenha configurado um período diferente (como uma vez por semana).

Comentários finais

Na versão 2.2.2 do PDNS ainda não estão implementados outros métodos de segundo fator como:

  • Passkeys (impressão digital através do teclado do dispositivo).

  • Dispositivos de hardware USB ou NFC, como Yubikey ou Nitrokey.