Autenticación con doble factor

¿Qué es la autenticación con doble factor?

Funcionamiento básico del doble factor de autenticación

La autenticación  con doble factor es una nueva medida de seguridad para acceder a algunos de los servicios y aplicaciones de la UJI y, así, cumplir la normativa que marca el Esquema Nacional de Seguridad (ENS). Se trata de un método de control en que el usuario o usuaria tiene que aportar, además de su nombre y clave de acceso, un código de verificación extra. El código es un número de 6 dígitos de solo un uso que se puede obtener a través de dos vías:

  1. La aplicación Google Authenticator (se puede descargar tanto en Android como en iOS / iPhone)

  2. Un correo electrónico

Alternativamente a un código numérico también es posible usar una clave propia basada en la especificación webauthn.

El sistema también genera automáticamente un listado de códigos de un solo uso para utilizarlos cuando no se tiene a mano el teléfono móvil o el correo electrónico. El doble factor se requiere para acceder a las herramientas informáticas de la UJI con protección de datos alta o media (sistemas de información calificados de categoría MEDIA o ALTA respecto al ENS). Así, con esta doble autenticación se hace muy difícil la suplantación de la identidad de un usuario cuando accede a un servicio, aunque alguien pueda conocer su clave de acceso.

Desde la última actualización (consultad ¿Ha desaparecido la opción de marcar el equipo de confianza?), el doble factor no se activará y, por tanto, no se tendrá que aportar ningún código adicional en los equipos de uso personal, en las mesas multimedia ni en las aulas informáticas. Podéis consultar el listado de vuestros ordenadores de trabajo de uso personal a través de IGLU > Identificación del ordenador de trabajo.

Acceso a la autenticación con doble factor

La autenticación con doble factor se requiere, como establece la normativa, en los servicios y aplicaciones de la UJI con una protección de datos alta o media. 

Hay que destacar que para acceder a los servicios, primero, el sistema os pedirá, como es habitual, el nombre de usuario y la clave de acceso de la UJI y, después, solicitará el segundo factor (el código de 6 dígitos). Para mayor información consultad ¿Cómo se completa la autenticación con el doble factor? No os volverá a pedir el doble factor mientras no desconectéis la sesión.

¿Quién puede utilizar la autenticación con el doble factor? 

Actualmente, hay un grupo de usuarios en pruebas y se irá extendiendo al resto de la comunidad universitaria en los próximos meses.

¿Cómo se completa la autenticación con el doble factor? 

La primera vez que accedéis al doble factor, una vez pongáis vuestro nombre de usuario y clave de acceso de la UJI, se mostrará una pantalla informativa como la de la imagen. Tenéis que pulsar Continuar para completar la autenticación.

Acto seguido aparecerá la pantalla donde tenéis que elegir el método para introducir el segundo factor, como podéis observar en la imagen de debajo. Es la pantalla que se mostrará siempre, una vez pongáis el nombre de usuario y clave de acceso. Recordad que el doble factor es un código de 6 dígitos de un solo uso que podéis obtener a través de varios métodos:

Si queréis que el sistema no os vuelva a pedir el doble factor tenéis que marcar la casilla Confiar en este dispositivo, aunque esta opción solo estará disponible en los equipos de uso personal, que están identificados en la UJI como ordenadores de trabajo, y solo aparecerá si anteriormente lo habéis marcado como no confiable. En este caso, cuando elegís uno de los métodos disponibles el sistema muestra un mensaje, como el de debajo, para que confirméis si el dispositivo que estáis utilizando es o no de confianza. Podéis consultar y eliminar vuestros dispositivos de confianza desde las Preferencias. Para mayor información consultad Gestionar los dispositivos de confianza

Una vez seleccionado el método para obtener el código del doble factor, podéis dar marcha atrás haciendo clic sobre Vuelve a los métodos disponibles o podéis pinchar Establece esta opción como predeterminada, para utilizar siempre este método de autenticación.

Podéis copiar y pegar el código requerido en cualquiera de los métodos de autenticación. Si pasáis el ratón por encima de la frase Código de verificación del doble factor, veréis que se muestra la frase Podéis copiar y pegar el código. Es un mecanismo útil por, por ejemplo, para copiar un código enviado al correo electrónico o del listado de códigos disponibles y pegarlo en la pantalla donde tenéis que introducir el código.QR

¿Cómo se obtiene el código con la aplicación Google Authenticator

Primero, tenés que instalar la aplicación Google Authenticator en vuestro teléfono móvil, disponible tanto para Android como para iOS/iPhone. La podéis buscar en el Play Store o la App Store y, seguidamente, pulsáis el botón Instalar.  

Una vez la hayáis instalado, hacéis clic en Empezar y, a continuación, tendréis que añadir una cuenta escaneando un código QR.

  1. En la pantalla de vuestro dispositivo aparecerá un código QR y una clave alfanumérica larga, si estáis utilizando un ordenador, o solo la clave alfanumérica larga en caso de estar utilizando el teléfono móvil para autenticaros.

    1. Código QR: si no aparece, tenéis que recargar y refrescar la página. Lo tenéis que escanear con vuestro teléfono móvil para agregar una cuenta a la aplicación. Este código QR aparecerá solo la primera vez que creéis el perfil en la aplicación y no lo volverá a hacer desde el primer código que introduzcáis correctamente.

    2. Clave alfanumérica larga: debéis copiarla y pegara en la aplicación para crear la nueva cuenta.

  2. Después de escanear o pegar el código, tenéis que hacer clic en Continuar.  

  3. Paralelamente, en vuestro teléfono se muestra un código. Es un código que cambia con frecuencia y, por lo tanto, no hace falta que lo memoricéis. 

  4. Para completar la doble autenticación, tenéis que poner este número en el campo Código de verificación del doble factor y, finalmente, pulsar Verifica.

¿Cómo se obtiene el código a través de un correo electrónico? 

Si optáis por el mensaje de correo electrónico, el sistema os enviará un código a la dirección de correo alternativa a la de la UJI que consta en el sistema. Introducís el número que recibáis en el campo Código y, seguidamente, pulsáis Verifica. El sistema permite enviar un código al correo alternativo tres veces seguidas, pero al superar este límite os aparecerá un mensaje de error y tendréis que elegir otro método de autenticación.

Si en el sistema informático no consta vuestra dirección de correo electrónico alternativa a la de la UJI, no podréis utilizar esta vía. Tendréis que hacerlo a través de otra opción, pulsando sobre Vuelve a los métodos disponibles. Tendréis que facilitar o actualizar vuestros datos de contacto a través de las Preferencias. Para obtener más información consultad Actualizar los datos de contacto

Tened en cuenta, que la primera vez que superéis el doble factor, cuando el sistema no tenga ningún dato vuestro de contacto y, también periódicamente, se mostrará una pantalla, como la de debajo, para que confirméis y actualicéis vuestros datos de contacto, tanto el teléfono móvil como el correo electrónico. Si no consta ninguno, es obligatorio que pongáis al menos uno de los dos y hagáis clic en Continuar. Si alguno ha cambiado, modificadlo y pulsad Continuar y si son correctos pinchad directamente sobre Continuar. Tenéis que introducir el prefijo o código del país si vuestro teléfono es internacional y el correo electrónico tiene que ser obligatoriamente alternativo a la cuenta corporativa de la UJI.

Como podéis observar en la imagen de abajo, también disponéis del botón No actualizar ahora por si queréis comprobar y modificar vuestros datos personales en otro momento. Podéis posponer esta actualización hasta en tres ocasiones. Una vez superados esos tres intentos, obligatoriamente tendréis que actualizarlos y pulsar Continuar. Es una opción pensada para los casos en que la pantalla puede ser vista por terceros, como puede ser una proyección. 

Cuando hayáis introducido un dato por primera vez o lo hayáis modificado, recibiréis en vuestro teléfono un mensaje SMS con un código y/o un correo electrónico con otro código. Los tenéis que introducir en el campo Código recibido a vuestro teléfono móvilCódigo recibido a vuestro correo electrónico y, finalmente, pulsar Confirma. Si solo habéis metido uno de los datos (teléfono o correo) solo aparecerá la confirmación de este dato.

¿Cómo se genera una lista de códigos? 

El sistema genera automáticamente una lista de códigos con hasta 30 números de 6 dígitos que podéis utilizar una sola vez (el número de códigos podría ir variando). Se recomienda que imprimáis esta tabla y la guardéis para utilizar los códigos en caso de que no tengáis a mano el móvil o la dirección de correo electrónico alternativa. Podéis mostrar en la pantalla el listado de códigos haciendo clic sobre el icono del ojo y ocultarlos con la del candado. Tenéis que tener en cuenta que cada vez que utilizáis uno de estos códigos, se deshabilitará y desaparecerá del listado. Cuando los agotéis todos, el sistema creará una nueva lista y os la mostrará cuando accedáis al doble factor. Podéis consultar vuestros códigos disponibles desde las Preferencias. Tened en cuenta que para acceder también se os requerirá el doble factor. Podéis ampliar la información en Consultar el listado de códigos generado automáticamente. Conviene destacar, además, que podéis generar una nueva lista de códigos reinicializando el doble factor. Consultad Restablecer el doble factor para saber cómo hacerlo.

¿Cómo usar las claves propias?

Para a registrar o usar una clave durante el proceso de autenticación podéis seguir leyendo esta sección. Si ya estáis autenticados, podéis ir directamente a vuestro panel de preferencias para gestionar las claves.

Antes de poder usar estas claves deben registrarse en el sistema, para poder relacionar su usuario con la clave. De esta forma, una vez registrada, podrá presentarse como un método más para poder superar el doble factor. Puede tener tantas claves privadas como necesite.

Una clave privada puede residir dentro de un dispositivo móvil (Android y/o iOS), dentro de un llavero USB de propósito específico, o en el mismo sistema operativo siempre y cuando soporte el estándar WebAuthn. Estas claves, normalmente, están protegidas con un PIN, patrón de desbloqueo o patrón biométrico (huella dactilar, patrón facial, etc.) cuando se trata de un móvil o PC que disponga de estas funcionalidades. Los llaveros USB especiales pueden estar protegidos con un PIN o huella dactilar.

Las llamadas passkeys también están soportadas como claves propias. Se corresponden con las claves de nuestro dispositivo de las que cada proveedor (Google, Apple, etc.) realiza una copia en la nube, de modo que al cambiar de dispositivo, se vuelven a sincronizar y ya las tenemos disponibles de nuevo.

Si nunca ha usado el doble factor o se ha restablecido recientemente

La pantalla que se muestra sólo aparecerá si nunca ha usado el doble factor o se ha restablecido recientemente. Antes debe disponer de una clave especial USB, un móvil que pueda conectarse a su PC, o un sistema operativo compatible con las claves tipo WebAuthn (Windows 10 a partir de la versión 1809, o iOS a partir de la versión 14 ). Elija un dispositivo en función de dónde desea almacenar su clave.

Si ya ha usado el doble factor pero no tiene ninguna clave registrada

La pantalla que verá en este caso es como la que se muestra seguidamente. Al pulsar en “Registrar una nueva clave”, se le enviará a la sección de “Claves propias” de las preferencias, pero, antes de poder acceder, deberá superar uno de los métodos del doble factor que aparecerán en pantalla.

Si ya ha registrado una clave

Si ya ha registrado, al menos, una clave propia, aparecerá una pantalla en la que se pide que la prepare (la puede insertar, o puede acercar el móvil, etc.). Pulse el botón “Verificar” para poder usar la clave.

Registro de una nueva clave

Tal y como se ha comentado, puede registrar varios tipos de claves, las cuales pueden encontrarse en el mismo dispositivo desde el que está accediendo (Windows Hello/Entra, iOS Face/Touch Id, móvil Android con patrón/PIN/etc.) , oa dispositivos externos al que está usando para acceder (móvil iOS/Android, clave USB, etc.).

A continuación tiene un ejemplo del proceso de registro de un móvil Android con Windows 11. Probablemente se necesite una aplicación lectora de códigos QR en los móviles Android, por ejemplo: Lector de código QR - Aplicaciones en Google Play

1.- Indique el nombre descriptivo de la clave:

2.- Indique el número descriptivo de la clave:

3.- Vincule el móvil con el registro:

 

4.- Siga los pasos en el móvil tal y como indica la captura:

 

5.- Clave registrada. Ya puede usar su móvil como segundo factor:

¿Qué podéis hacer desde las preferencias? 

Podéis configurar vuestras Preferencias de la autenticación del doble factor desde la dirección del panel de preferencias . Para acceder necesitaréis el doble factor de autenticación. Desde aquí podréis:

Actualizar los datos de contacto

Como se ha mencionado, periódicamente, cuando accedéis a la autenticación con doble factor se muestra una pantalla para que confirméis y reviséis vuestros datos personales, tanto el teléfono móvil como la dirección de correo electrónico alternativa que constan en el sistema y a los que se envían los códigos de verificación. A parte de esto, desde la pestaña Datos de contacto de las Preferencias podréis actualizarlas. Tenéis que poner al menos uno de los dos datos de contacto y pinchar en Continuar. Tenéis que introducir el prefijo o código del país si vuestro teléfono es internacional. En el caso de Francia, por ejemplo, tendréis que poner 003312345678. Recordad que también podéis actualizar vuestros datos desde IGLU (Información personal > Datos personales > Datos personales/Recuperacion credenciales)

A continuación, recibiréis en vuestro teléfono, un mensaje SMS con un código y/o un correo electrónico a vuestra dirección alternativa con otro código. Los tenéis que introducir en el campo Código recibido en el teléfono móvil y/o en el de Código recibido en el correo-e y, finalmente, pulsar Confirma.

Si solo cambiáis uno de los dos datos se mostrará un mensaje en la pantalla, para advertiros que al menos uno de los datos de contacto no ha variado.

Es importante subrayar que el correo electrónico alternativo tiene que ser obligatoriamente externo al de la UJI. Si intentáis introducir alguna dirección @uji.es el sistema no lo reconocerá y os mostrará un mensaje de error como el de la imagen.

Restablecer el doble factor

Desde la pestaña Restablecer doble factor podéis eliminar toda la configuración que tengáis de la autenticación con doble factor. Para hacerlo, simplemente tenéis que pinchar el botón Restablece. Es importante que tengáis en cuenta que: 

Una vez pulséis Restablece, aparecerá en la pantalla un mensaje de confirmación como el siguiente.

Gestionar los dispositivos de confianza

En la pestaña Dispositivos podéis consultar vuestros dispositivos de confianza. Recordad que cuando accedéis desde un equipo de confianza no os pedirá el doble factor. Existen dos tipos de equipos de confianza, uno son las mesas multimedia, que no aparecen en este apartado, y el otro son los que constan en el apartado de Identificación del ordenador de trabajo de IGLU. Si vuestro equipo no aparece en este listado, debéis poneros en contacto con el CAU para que lo revise. Podéis eliminar un equipo de confianza desde la pestaña Dispositivos de las Preferencias si consideráis que no lo es. Posteriormente, podéis indicar que vuelva a ser de confianza cuando accedáis al doble factor o si restablecéis el doble factor.

Consultar el listado de códigos generado automáticamente

Cada vez que se genere, de forma automática, un listado de códigos (hasta 30 números de 6 dígitos desechables, a pesar de que el número podría ir variando) se mostrará en la pantalla, cuando accedáis al doble factor. Es conveniente que lo imprimáis y lo guardéis por si un día no tenéis a mano ni el teléfono móvil ni el correo alternativo. En todo caso, podéis acceder a vuestro listado de códigos disponibles desde las Preferencias. Tened en cuenta, eso sí, que para acceder también se requiere la doble autenticación. En la pestaña Códigos aparecen los códigos que todavía tenéis disponibles y, por lo tanto, todavía no habéis usado. Para mostrarlos en la pantalla tenéis que pinchar  sobre el icono del ojo, marcada en rojo en la imagen de debajo. Recordad que, cada vez que gastáis uno de estos códigos, se inhabilita y desaparece de la lista. Cuando los agotáis todos, automáticamente el sistema crea una nueva tabla. Si queréis forzar la creación de un nuevo listado podéis Restablecer el doble factor, a pesar de que debéis ser conscientes que también eliminaréis toda la configuración que tengáis de la doble autenticación.

Consultar el código QR del Google Authenticator

En esta pestaña podéis consultar el código QR o la clave alfanumérica que se usa para crear el perfil en la aplicación Google Authenticator. Tanto si habéis restablecido el doble factor, como si necesitáis recuperar dicho perfil en GA (por pérdida/cambio de teléfono), podéis escanear el código QR, o copiar y pegar la clave, al sitio correspondiente.

Gestionar las claves propias (añadir nuevas claves, borrarlas, etc)

En esta pestaña podrá añadir tantas claves propias como necesite. También podrá borrarlas en caso de pérdida o sospecha de que alguna persona pueda hacer uso de alguna de ellas. Hasta el momento, no tenemos una forma fiable de identificar cada clave para que pueda borrar la clave problemática, con lo que debe borrarse todas en conjunto. Esta característica irá mejorando en las próximas versiones del doble factor.

Si no dispone de ninguna clave hasta el momento, aparecerá esta pantalla. Vea un ejemplo de registro de clave.

 

Si ya dispone de claves registradas, verá esta pantalla, desde donde podrá eliminar las claves que tenga. También se borran en el caso de restablecer el doble factor.

 

Resolución de problemas

¿Habéis cambiado, perdido u olvidado el teléfono?

  • Si habéis cambiado de teléfono, estáis utilizando Google Authenticator y todavía tenéis acceso al teléfono antiguo, podéis pasar la generación de códigos de tu cuenta hacia el nuevo teléfono utilizando la opción Transferir cuentas que encontraréis a través del icono de las tres rallas, situada al margen superior izquierdo.

  • Si habéis cambiado de teléfono, estáis utilizando Google Authenticator y no tenéis acceso al teléfono antiguo, podéis recuperar vuestro perfil desde la sección G. Authenticator del panel de preferencias. Para acceder al panel se ha de superar el doble factor usando uno de los métodos restantes disponibles (correo electrónico, lista de códigos, etc).

  • Si habéis perdido el teléfono, podéis utilizar los otros métodos disponibles, bien la Lista pregenerada (si ya la habíais imprimido previamente), bien el método E-mail (si tenéis acceso al correo electrónico alternativo al de la UJI), o bien el método de las claves propias. En este caso, se recomienda que sigáis los pasos indicados al Restablecer el doble factor por si otra persona pudiera utilizar los códigos generados en Google Authenticator.

  • Si no tenéis teléfono móvil ni acceso a la lista de códigos pregenerada ni tampoco acceso a una dirección de correo alternativa, tendréis que poneros en contacto con el CAU y pedir el establecimiento del doble factor, de forma que cuando volváis a identificaros empecéis de nuevo, tal como se explica ¿Cómo se completa la autenticación con el doble factor?

¿Ha desaparecido la opción de marcar el equipo de confianza?

La última modificación en el funcionamiento del doble factor implica el cumplimiento legal de las obligaciones de la UJI, según del Esquema Nacional de Seguridad (ENS) y, como consecuencia, solo se puede considerar equipo de confianza aquel que esté predefinido y proporcionado por la Universidad. Este segundo factor de autenticación se basa en alguna cosa que se tiene: bien la llave de la cerradura para abrir las mesas multimedia, la llave para abrir la puerta de las aulas de informática, o bien la posesión (asignada nominalmente por el Servicio de Informática) del equipo de trabajo de uso personal. En el resto de equipos siempre se pedirá el código del doble factor.

Si queréis mejorar vuestra seguridad podéis no hacer uso de la confianza en vuestro equipo personal asignado y excluirlo en la pestaña Dispositivos de las Preferencias. Podéis ampliar la información en el punto Gestionar los dispositivos de confianza.

¿Habéis restablecido u os han restablecido el doble factor pero Google Authenticator no genera códigos válidos?

En este caso pueden estar pasando dos cosas:

  1. Tenéis mal la hora del teléfono, con lo que tendréis que ajustar la hora proporcionada por la red. Podéis consultar cómo hacerlo en How to Set Time and Date on a Smartphone.

  2. Estáis usando un perfil no válido en Google Authenticator, con lo que tendréis que seleccionarlo y borrarlo (haciendo clic en el icono de la basura). También tendréis que pedir al CAU que vuelva a restablecer vuestro perfil del doble factor, de forma que, cuando elijáis el método “Google Authenticator” después de autenticaros, vuelva a aparecer el código QR o la clave alfanumérica larga que tendréis que escanear o copiar y pegar (en función del tipo de código) en la aplicación del móvil con el mismo nombre. Consultad ¿Cómo se obtiene el código con la aplicación Google Authenticator? para más información.

Ante cualquier otro problema en el funcionamiento de la aplicación, puede ponerse en contacto con el Centro de Atención a Usuarios (CAU) del Servicio de Informática de la Universidad Jaume I de Castellón. Puede llamar al CAU al 964 38 7400 dentro del horario de atención telefónica (de lunes a jueves de 08.30 a 19.00 h y los viernes de 09.30 a 17.00 h), enviar sus consultas a la dirección electrónica cau@uji.es o crear una incidencia a través de la aplicación CAU. Será atendida con la máxima brevedad posible y con el mejor servicio disponible.

Glosario

  • Código. Número de seis dígitos que requiere el doble factor de autenticación para acceder a los servicios informáticos con una protección de datos alta o media.

  • Doble factor. Sistema de seguridad de autenticación para acceder a un servicio informático. Primero, requiere el nombre de usuario y clave de acceso y, posteriormente, un código de verificación (un número de seis dígitos de un solo uso) que se puede obtener a través de la aplicación Google Authenticator o de un correo electrónico. El sistema también genera automáticamente una lista de códigos de un solo uso.

  • Factor. Cada uno de los elementos que se requieren para autenticarse y acceder a un servicio informático. En la autenticación con doble factor, el primero es el nombre de usuario y contraseña de la UJI y el segundo un código de verificación.

  • Google Authenticator. Aplicación de Google que genera códigos para la verificación en dos pasos para iniciar sesión en un servicio.

  • Lista de códigos. Tabla con una serie de números de un solo uso que genera automáticamente el sistema cuando se accede por primera vez a la doble autenticación o cuando se han utilizado todos los números.

  • Webauthn. WebAuthn es un estándar abierto para autenticación en web que permite a los usuarios iniciar sesión de forma segura y sin contraseñas utilizando dispositivos de autenticación externa, como por ejemplo leedores de huellas digitales o claves de seguridad.

Además de conocer el significado de estos conceptos también le puede ayudar el Glosario de términos clave.