Guía uso 2FA en VPN

Guía uso 2FA en VPN

1. Qué es el doble factor o 2FA

La autenticación de dos factores, doble factor o 2FA es el proceso por el que se combinan dos o más factores de autenticación.

  1. Algo que se sabe (identificador/contraseña).
  2. Algo que se tiene (por ejemplo, un token, un móvil, un USB, etc).

De esta manera se consigue dar un paso más de seguridad adicional en el acceso a aplicaciones y servicios.

2. Implementación en la UPV/EHU de 2FA en VPN

En la UPV/EHU, para las conexiones VPN, se usará 2FA combinando los siguientes factores:

  • Identificador y contraseña corporativas.
  • Una segunda clave numérica de un único uso que se genera automáticamente en un dispositivo móvil o en un PC/Mac.

Esta clave numérica de seis cifras cambia cada 30 segundos, por lo que es ese el tiempo que disponemos para realizar la conexión VPN. Si nos demoramos más de 30 segundos se generará una nueva clave y hay que empezar de nuevo.

Ventana del authenticator en la que aparece el número 314324

Para poder generar esta segunda clave es necesario instalar una aplicación conocida de manera genérica como "Authenticator". También se puede instalar como extensión en el navegador (Edge, Chrome o Firefox) y configurarla siguiendo los pasos detallados en el ANEXO 1.

Existen multitud de herramientas que funcionan en distintos dispositivos. Estas son algunas:

  Android IOS Edge/Firefox/Chrome
Google Authenticator (descargar) (descargar) -
Microsoft Authenticator (descargar) (descargar) -
Authenticator - - (descargar)
FreeOTP (descargar) (descargar) -

3. Configuración de 2FA

Esta configuración solo es necesario hacerla una vez.

Guía resumida de pasos:

  1. Instalar el Authenticator en el dispositivo.
  2. Acceder a www.ehu.eus/2FA.
  3. Generar el QR.
  4. Escanear el QR mediante el Authenticator instalado en el dispositivo.
  5. El Authenticator queda configurado y genera la clave numérica necesaria.

Guía completa:

La primera vez que se va a usar la aplicación necesitamos generar un código QR. Para ello nos conectaremos a www.ehu.eus/2FA

Aparece una página similar a esta y nos identificamos con las credenciales corporativas.

Página del Generador del segundo factor de autenticación (2FA) con los enlaces para descargarse el Authenticator y los campos para introducir las credenciales UPV/EHU

A continuación, se nos pide una dirección de correo electrónico diferente a la dirección corporativa. Esta dirección solo se utilizará para generar y recuperar el código QR.

Hay que introducir el email dos veces y enviar

Una vez se pulsa en el botón enviar, aparece otra pantalla en la que se pide un código que se ha enviado a la dirección introducida previamente.

En caso de no ver el mensaje revisar la carpeta de SPAM.

Aparece un campo para introducir el código y el botón de enviar

Introduciendo el código y pulsando Enviar aparece el código QR similar al que se muestra a continuación. Mantener esta ventana abierta hasta finalizar la configuración del 2FA.

IMPORTANTE: Solo se genera UN código QR, el cual puede instalarse en tantos dispositivos como queramos en el mismo momento que se genera el código QR; si en ese momento no es posible, habrá que anotar los números que aparecen encima del código QR y añadirlos en ese otro dispositivo de forma manual, es decir, una vez generado el código QR, lo deberemos o podremos instalar en el teléfono, tablet, navegador, etc., pero será el código QR generado en ese momento.
En caso de pérdida se puede recuperar con el correo electrónico del paso previo.
Página que muestra un código QR con un mensaje diciendo que debe ser escaneado

Abrir la aplicación instalada en el dispositivo móvil.

La primera vez aparece una pantalla similar a esta:

Configura tu primera cuenta: escanea el código QR o ingresa la clave de configuración

Seleccionamos la opción de "Escanear código QR" para registrarlo con la cámara, o bien seleccionamos la opción "Ingresar clave" si no podemos hacer uso de la cámara (por ejemplo, si hemos generado el QR en el mismo dispositivo).

Una vez hecho, automáticamente nos creará un registro, que será "vpnehu", con un código de seguridad de 6 números que cambiarán cada 30 segundos.

Ventana del authenticator en la que aparece el número 314324

4. Uso del 2FA con la VPN

Abrimos la aplicación cliente de VPN (Cisco AnyConnect u otra) y nos validaremos usando nuestras credenciales corporativas.

Nos conectaremos a vpn.ehu.es usando el identificador y contraseña corporativa

Nos solicitará el código numérico de seguridad de 6 dígitos que ha generado en ese momento la App del dispositivo móvil.

Ventana del authenticator en la que aparece el número 314324

Y lo introducimos en el lugar correspondiente donde se solicita el código u OTP.

En el caso de Cisco AnyConnect es en el campo Answer

ANEXO 1: Instalar Authenticator como extensión en un navegador

En caso de que no se disponga de un terminal móvil para instalar la App "Authenticator", existe la posibilidad de usar una extensión en los navegadores más usados (Edge, Chrome, Firefox, Safari).

Este es un método alternativo al uso de una App específica en el dispositivo móvil, algo más complejo de instalar y mantener si se utilizan diferentes navegadores u ordenadores.

En el ejemplo que se muestra a continuación se usa Chrome: vídeo resumen

3 pasos:

1. Instalar la Extensión

1. Abrimos el navegador (Edge, Chrome, Firefox, Safari).

2. Accedemos a la URL www.ehu.eus/2FA y pulsamos en "Authenticator" en la sección "Extensión de navegador".

3. Añadimos la extensión.

Añadir a Chrome la extensión "Authenticator" y, cuando pregunte si la queremos instalar, seleccionar "Añadir extensión"

2. Añadir el 2FA de la VPN de la UPV/EHU en la extensión

La primera vez que se va a usar la aplicación necesitamos generar un código QR. Para ello nos conectaremos a www.ehu.eus/2FA

Aparece una página similar a esta y nos identificamos con las credenciales corporativas.

Página del Generador del segundo factor de autenticación (2FA) con los enlaces para descargarse el Authenticator y los campos para introducir las credenciales UPV/EHU

A continuación, se nos pide una dirección de correo electrónico diferente a la dirección corporativa. Esta dirección solo se utilizará para recuperar el código QR que se genera en el siguiente paso.

Hay que introducir el email dos veces y enviar

Una vez se pulsa en el botón enviar, aparece otra pantalla en la que se pide un código que se ha enviado a la dirección introducida previamente.

En caso de no ver el mensaje revisar la carpeta de SPAM.

Aparece un campo para introducir el código y el botón de enviar

Introduciendo el código y pulsando Enviar aparece el código QR similar al que se muestra a continuación. Mantener esta ventana abierta hasta finalizar la configuración del 2FA.

IMPORTANTE: Solo se genera UN código QR, el cual puede instalarse en tantos dispositivos como queramos en el mismo momento que se genera el código QR; si en ese momento no es posible, habrá que anotar los números que aparecen encima del código QR y añadirlos en ese otro dispositivo de forma manual, es decir, una vez generado el código QR, lo deberemos o podremos instalar en el teléfono, tablet, navegador, etc., pero será el código QR generado en ese momento.
En caso de pérdida se puede recuperar con el correo electrónico del paso previo.
Página que muestra un código QR con un mensaje diciendo que debe ser escaneado

3. Asociar código QR con la extensión Authenticator del navegador

Hacer click en la figurita del puzle ("Extensiones") para abrir la extensión añadida.

Seleccionamos "Authenticator" y nos aparece nuestro almacén de claves.

Authenticator con el mensaje de que no hay cuentas para mostrar, diciendo que puedes añadir tu primera cuenta ahora.

En esta extensión podemos añadir más claves, en este caso procedemos a añadir la 2FA de la VPN de la UPV/EHU.

Para ello seleccionamos "Editar" (el lápiz de la parte de arriba a la derecha).

En las opciones que aparecen, seleccionamos "Añadir cuenta" (+).

Seleccionamos la opción de "Escanear un código QR" y automáticamente nos dejará seleccionar un recorte de imagen. Seleccionaremos el QR que hemos generado anteriormente. El código quedará instalado en la Extensión.

Para ver ese código numérico accedemos a la extensión y veremos el código temporal.

Extensión Authenticator que muestra el código 743306 de la cuenta vpnehu

ANEXO 2: Recuperar código QR en caso de necesidad

Nos conectaremos a www.ehu.eus/2FA.

Aparece una página similar a esta y nos identificamos con las credenciales corporativas.

Página del Generador del segundo factor de autenticación (2FA) con los enlaces para descargarse el Authenticator y los campos para introducir las credenciales UPV/EHU

La aplicación detecta que ya tenemos un código QR generado y nos pregunta si queremos generar uno nuevo. También nos informa de que el actual quedará anulado.

Pulsando "Continuar", se pide de nuevo una dirección de correo electrónico, diferente a la dirección corporativa, a la que se enviará un código de validación que hay que introducir para generar el nuevo código QR.

Hay que introducir el email dos veces y enviar

Una vez se pulsa en el botón enviar, aparece otra pantalla en la que se pide un código que se ha enviado a la dirección introducida previamente.

En caso de no ver el mensaje revisar la carpeta de SPAM.

Aparece un campo para introducir el código y el botón de enviar

Introduciendo el código y pulsando Enviar aparece el código QR similar al que se muestra a continuación. Mantener esta ventana abierta hasta finalizar la configuración del 2FA.

IMPORTANTE: Solo se genera UN código QR, el cual puede instalarse en tantos dispositivos como queramos en el mismo momento que se genera el código QR; si en ese momento no es posible, habrá que anotar los números que aparecen encima del código QR y añadirlos en ese otro dispositivo de forma manual, es decir, una vez generado el código QR, lo deberemos o podremos instalar en el teléfono, tablet, navegador, etc., pero será el código QR generado en ese momento.
En caso de pérdida se puede recuperar con el correo electrónico del paso previo.
Página que muestra un código QR con un mensaje diciendo que debe ser escaneado