Autenticación con doble factor
- 1 ¿Qué es la autenticación con doble factor?
- 2 Acceso a la autenticación con doble factor
- 3 ¿Quién puede utilizar la autenticación con el doble factor?
- 4 ¿Cómo se completa la autenticación con el doble factor?
- 5 ¿Qué podéis hacer desde las preferencias?
- 6 Resolución de problemas
- 7 Glosario
¿Qué es la autenticación con doble factor?
La autenticación con doble factor es una nueva medida de seguridad para acceder a algunos de los servicios y aplicaciones de la UJI y, así, cumplir la normativa que marca el Esquema Nacional de Seguridad (ENS). Se trata de un método de control en que el usuario o usuaria tiene que aportar, además de su nombre y clave de acceso, un código de verificación extra. El código es un número de 6 dígitos de solo un uso que se puede obtener a través de dos vías:
La aplicación Google Authenticator (se puede descargar tanto en Android como en iOS / iPhone)
Un correo electrónico
Alternativamente a un código numérico también es posible usar una clave propia basada en la especificación webauthn.
El sistema también genera automáticamente un listado de códigos de un solo uso para utilizarlos cuando no se tiene a mano el teléfono móvil o el correo electrónico. El doble factor se requiere para acceder a las herramientas informáticas de la UJI con protección de datos alta o media (sistemas de información calificados de categoría MEDIA o ALTA respecto al ENS). Así, con esta doble autenticación se hace muy difícil la suplantación de la identidad de un usuario cuando accede a un servicio, aunque alguien pueda conocer su clave de acceso.
Desde la última actualización (consultad ¿Ha desaparecido la opción de marcar el equipo de confianza?), el doble factor no se activará y, por tanto, no se tendrá que aportar ningún código adicional en los equipos de uso personal, en las mesas multimedia ni en las aulas informáticas. Podéis consultar el listado de vuestros ordenadores de trabajo de uso personal a través de IGLU > Identificación del ordenador de trabajo.
Acceso a la autenticación con doble factor
La autenticación con doble factor se requiere, como establece la normativa, en los servicios y aplicaciones de la UJI con una protección de datos alta o media.
Hay que destacar que para acceder a los servicios, primero, el sistema os pedirá, como es habitual, el nombre de usuario y la clave de acceso de la UJI y, después, solicitará el segundo factor (el código de 6 dígitos). Para mayor información consultad ¿Cómo se completa la autenticación con el doble factor? No os volverá a pedir el doble factor mientras no desconectéis la sesión.
¿Quién puede utilizar la autenticación con el doble factor?
Actualmente, hay un grupo de usuarios en pruebas y se irá extendiendo al resto de la comunidad universitaria en los próximos meses.
¿Cómo se completa la autenticación con el doble factor?
La primera vez que accedéis al doble factor, una vez pongáis vuestro nombre de usuario y clave de acceso de la UJI, se mostrará una pantalla informativa como la de la imagen. Tenéis que pulsar Continuar para completar la autenticación.
Acto seguido aparecerá la pantalla donde tenéis que elegir el método para introducir el segundo factor, como podéis observar en la imagen de debajo. Es la pantalla que se mostrará siempre, una vez pongáis el nombre de usuario y clave de acceso. Recordad que el doble factor es un código de 6 dígitos de un solo uso que podéis obtener a través de varios métodos:
Utilizar la aplicación Google Authenticator en vuestro teléfono móvil(disponible tanto en Android como en iOS / iPhone).
Recibir un código a una dirección de correo electrónico alternativa a la de la UJI.
Usar un número de una lista de códigos generada automáticamente.
Usar una clave propia.
Si queréis que el sistema no os vuelva a pedir el doble factor tenéis que marcar la casilla Confiar en este dispositivo, aunque esta opción solo estará disponible en los equipos de uso personal, que están identificados en la UJI como ordenadores de trabajo, y solo aparecerá si anteriormente lo habéis marcado como no confiable. En este caso, cuando elegís uno de los métodos disponibles el sistema muestra un mensaje, como el de debajo, para que confirméis si el dispositivo que estáis utilizando es o no de confianza. Podéis consultar y eliminar vuestros dispositivos de confianza desde las Preferencias. Para mayor información consultad Gestionar los dispositivos de confianza.
Una vez seleccionado el método para obtener el código del doble factor, podéis dar marcha atrás haciendo clic sobre Vuelve a los métodos disponibles o podéis pinchar Establece esta opción como predeterminada, para utilizar siempre este método de autenticación.
Podéis copiar y pegar el código requerido en cualquiera de los métodos de autenticación. Si pasáis el ratón por encima de la frase Código de verificación del doble factor, veréis que se muestra la frase Podéis copiar y pegar el código. Es un mecanismo útil por, por ejemplo, para copiar un código enviado al correo electrónico o del listado de códigos disponibles y pegarlo en la pantalla donde tenéis que introducir el código.QR
¿Cómo se obtiene el código con la aplicación Google Authenticator?
Primero, tenés que instalar la aplicación Google Authenticator en vuestro teléfono móvil, disponible tanto para Android como para iOS/iPhone. La podéis buscar en el Play Store o la App Store y, seguidamente, pulsáis el botón Instalar.
Una vez la hayáis instalado, hacéis clic en Empezar y, a continuación, tendréis que añadir una cuenta escaneando un código QR.
En la pantalla de vuestro dispositivo aparecerá un código QR y una clave alfanumérica larga, si estáis utilizando un ordenador, o solo la clave alfanumérica larga en caso de estar utilizando el teléfono móvil para autenticaros.
Código QR: si no aparece, tenéis que recargar y refrescar la página. Lo tenéis que escanear con vuestro teléfono móvil para agregar una cuenta a la aplicación. Este código QR aparecerá solo la primera vez que creéis el perfil en la aplicación y no lo volverá a hacer desde el primer código que introduzcáis correctamente.
Clave alfanumérica larga: debéis copiarla y pegara en la aplicación para crear la nueva cuenta.
Después de escanear o pegar el código, tenéis que hacer clic en Continuar.
Paralelamente, en vuestro teléfono se muestra un código. Es un código que cambia con frecuencia y, por lo tanto, no hace falta que lo memoricéis.
Para completar la doble autenticación, tenéis que poner este número en el campo Código de verificación del doble factor y, finalmente, pulsar Verifica.
¿Cómo se obtiene el código a través de un correo electrónico?
Si optáis por el mensaje de correo electrónico, el sistema os enviará un código a la dirección de correo alternativa a la de la UJI que consta en el sistema. Introducís el número que recibáis en el campo Código y, seguidamente, pulsáis Verifica. El sistema permite enviar un código al correo alternativo tres veces seguidas, pero al superar este límite os aparecerá un mensaje de error y tendréis que elegir otro método de autenticación.
Si en el sistema informático no consta vuestra dirección de correo electrónico alternativa a la de la UJI, no podréis utilizar esta vía. Tendréis que hacerlo a través de otra opción, pulsando sobre Vuelve a los métodos disponibles. Tendréis que facilitar o actualizar vuestros datos de contacto a través de las Preferencias. Para obtener más información consultad Actualizar los datos de contacto.
Tened en cuenta, que la primera vez que superéis el doble factor, cuando el sistema no tenga ningún dato vuestro de contacto y, también periódicamente, se mostrará una pantalla, como la de debajo, para que confirméis y actualicéis vuestros datos de contacto, tanto el teléfono móvil como el correo electrónico. Si no consta ninguno, es obligatorio que pongáis al menos uno de los dos y hagáis clic en Continuar. Si alguno ha cambiado, modificadlo y pulsad Continuar y si son correctos pinchad directamente sobre Continuar. Tenéis que introducir el prefijo o código del país si vuestro teléfono es internacional y el correo electrónico tiene que ser obligatoriamente alternativo a la cuenta corporativa de la UJI.
Como podéis observar en la imagen de abajo, también disponéis del botón No actualizar ahora por si queréis comprobar y modificar vuestros datos personales en otro momento. Podéis posponer esta actualización hasta en tres ocasiones. Una vez superados esos tres intentos, obligatoriamente tendréis que actualizarlos y pulsar Continuar. Es una opción pensada para los casos en que la pantalla puede ser vista por terceros, como puede ser una proyección.
Cuando hayáis introducido un dato por primera vez o lo hayáis modificado, recibiréis en vuestro teléfono un mensaje SMS con un código y/o un correo electrónico con otro código. Los tenéis que introducir en el campo Código recibido a vuestro teléfono móvil o Código recibido a vuestro correo electrónico y, finalmente, pulsar Confirma. Si solo habéis metido uno de los datos (teléfono o correo) solo aparecerá la confirmación de este dato.
¿Cómo se genera una lista de códigos?
El sistema genera automáticamente una lista de códigos con hasta 30 números de 6 dígitos que podéis utilizar una sola vez (el número de códigos podría ir variando). Se recomienda que imprimáis esta tabla y la guardéis para utilizar los códigos en caso de que no tengáis a mano el móvil o la dirección de correo electrónico alternativa. Podéis mostrar en la pantalla el listado de códigos haciendo clic sobre el icono del ojo y ocultarlos con la del candado. Tenéis que tener en cuenta que cada vez que utilizáis uno de estos códigos, se deshabilitará y desaparecerá del listado. Cuando los agotéis todos, el sistema creará una nueva lista y os la mostrará cuando accedáis al doble factor. Podéis consultar vuestros códigos disponibles desde las Preferencias. Tened en cuenta que para acceder también se os requerirá el doble factor. Podéis ampliar la información en Consultar el listado de códigos generado automáticamente. Conviene destacar, además, que podéis generar una nueva lista de códigos reinicializando el doble factor. Consultad Restablecer el doble factor para saber cómo hacerlo.
¿Cómo usar las claves propias?
Para a registrar o usar una clave durante el proceso de autenticación podéis seguir leyendo esta sección. Si ya estáis autenticados, podéis ir directamente a vuestro panel de preferencias para gestionar las claves.
Antes de poder usar estas claves deben registrarse en el sistema, para poder relacionar su usuario con la clave. De esta forma, una vez registrada, podrá presentarse como un método más para poder superar el doble factor. Puede tener tantas claves privadas como necesite.
Una clave privada puede residir dentro de un dispositivo móvil (Android y/o iOS), dentro de un llavero USB de propósito específico, o en el mismo sistema operativo siempre y cuando soporte el estándar WebAuthn. Estas claves, normalmente, están protegidas con un PIN, patrón de desbloqueo o patrón biométrico (huella dactilar, patrón facial, etc.) cuando se trata de un móvil o PC que disponga de estas funcionalidades. Los llaveros USB especiales pueden estar protegidos con un PIN o huella dactilar.
Las llamadas passkeys también están soportadas como claves propias. Se corresponden con las claves de nuestro dispositivo de las que cada proveedor (Google, Apple, etc.) realiza una copia en la nube, de modo que al cambiar de dispositivo, se vuelven a sincronizar y ya las tenemos disponibles de nuevo.
Si nunca ha usado el doble factor o se ha restablecido recientemente
La pantalla que se muestra sólo aparecerá si nunca ha usado el doble factor o se ha restablecido recientemente. Antes debe disponer de una clave especial USB, un móvil que pueda conectarse a su PC, o un sistema operativo compatible con las claves tipo WebAuthn (Windows 10 a partir de la versión 1809, o iOS a partir de la versión 14 ). Elija un dispositivo en función de dónde desea almacenar su clave.
Si ya ha usado el doble factor pero no tiene ninguna clave registrada
La pantalla que verá en este caso es como la que se muestra seguidamente. Al pulsar en “Registrar una nueva clave”, se le enviará a la sección de “Claves propias” de las preferencias, pero, antes de poder acceder, deberá superar uno de los métodos del doble factor que aparecerán en pantalla.
Si ya ha registrado una clave
Si ya ha registrado, al menos, una clave propia, aparecerá una pantalla en la que se pide que la prepare (la puede insertar, o puede acercar el móvil, etc.). Pulse el botón “Verificar” para poder usar la clave.
Registro de una nueva clave
Tal y como se ha comentado, puede registrar varios tipos de claves, las cuales pueden encontrarse en el mismo dispositivo desde el que está accediendo (Windows Hello/Entra, iOS Face/Touch Id, móvil Android con patrón/PIN/etc.) , oa dispositivos externos al que está usando para acceder (móvil iOS/Android, clave USB, etc.).
A continuación tiene un ejemplo del proceso de registro de un móvil Android con Windows 11. Probablemente se necesite una aplicación lectora de códigos QR en los móviles Android, por ejemplo: Lector de código QR - Aplicaciones en Google Play
1.- Indique el nombre descriptivo de la clave:
2.- Indique el número descriptivo de la clave:
3.- Vincule el móvil con el registro:
4.- Siga los pasos en el móvil tal y como indica la captura:
5.- Clave registrada. Ya puede usar su móvil como segundo factor:
¿Qué podéis hacer desde las preferencias?
Podéis configurar vuestras Preferencias de la autenticación del doble factor desde la dirección del panel de preferencias . Para acceder necesitaréis el doble factor de autenticación. Desde aquí podréis:
Actualizar y gestionar vuestros datos de contacto, tanto del teléfono móvil como de la dirección de correo electrónico alternativa a la de la UJI.
Restablecer el doble factor para eliminar cualquier configuración que tengáis hecha, como suprimir los dispositivos de confianza, la lista de códigos o el perfil de la aplicación Google Authenticator.
Consultar los códigos disponibles del listado generado automáticamente.
Gestionar las claves propias (añadir nuevas claves, borrar las, etc)