viernes, noviembre 11, 2016

Cómo proteger tu cuenta de Microsoft Live con verificación en dos pasos usando Latch Cloud TOTP

Recientemente ha sido implementada una nueva funcionalidad en Latch para que los usuarios puedan proteger también las cuentas en servicos populares de Internet utilizando el concepto de Cloud TOTP. Anteriormente ya hemos publicado demostraciones sobre cómo proteger cuentas de Google y Gmail  con Latch y Cloud TOTP. Hoy llevaremos a cabo otra demostración, en este caso con cuentas de Microsoft Live. Para ello tendréis que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch).

Figura 1: Cómo proteger tu cuenta de Microsoft Live con "Verificación en dos pasos" con Latch Cloud TOTP

En primer lugar, iniciamos sesión con nuestra cuenta de Microsoft Live y accedemos al enlace "Mi cuenta". En la parte de Seguridad y Privacidad tendremos que acceder a "Más ajustes de seguridad", donde podremos visualizar la opción "Verificación en dos pasos". A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Microsoft Live ofrece. En este caso nos centraremos en la de TOTP.

Figura 2: Opción de Verificación en dos pasos

Para poder continuar la página nos solicitará los cuatro últimos dígitos de nuestro número de teléfono para enviarnos un código a nuestro terminal con el fin de comprobar que este está bajo nuestro control. Esto es así, porque mi cuenta tiene asociado mi número de teléfono en su creación. En este punto debemos completar la acción introduciendo el código que nos envíen vía SMS.

Figura 3: Selección de la opción "Otro"
Una vez que introducimos el código y todo ha ido bien se nos mostrará una serie de recomendaciones a la hora de activar la verificación en dos pasos. Simplemente, debemos pulsar en "Siguiente". Una vez hecho esto podremos seleccionar el Sistema Operativo de nuestro dispositivo móvil, tal y como se puede ver en la imagen. Sin embargo, al seleccionar sistemas operativos Android o iOS nos veríamos obligados a configurar la verificación en dos pasos por medio de Microsoft Authenticator, así que para poder configurar Latch seleccionamos la opción de "Otro".


Figura 4: Configuración del Código QR para finalizar Latch

A continuación aparecerá en nuestra pantalla un código QR que podremos escanear desde la aplicación de Latch. Tras haber implementado el nuevo servicio en nuestro Latch generaremos un “token” para acabar de configurar la autenticación.

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son "Parear con Latch", que es la funcionalidad clásica, y "Proteger con Cloud TOTP". Debemos pulsar esta última.

Figura 5: Opciones de protección con Latch

Al pulsar sobre ·"Proteger con Cloud TOTP"Latch mostrará la cámara del dispositivo para que podamos escanear el código QR que Microsoft Live nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del código manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior.

Figura 6: Latch Cloud TOTP para Microsot Live añadido correctamente

Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Microsoft Live con Latch.

Iniciando sesión con Latch Cloud TOTP en Microsoft Live

Tras haber configurado nuestro Latch Cloud TOTP para Microsoft Live comprobaremos su correcto funcionamiento, para ello nos dirigimos al login de Microsoft Live e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Microsoft Live y podremos utilizar nuestro Latch.

Figura 7: Solicitiud de códigot TOTP


En nuestra aplicación de Latch seleccionamos el Cloud TOTP de Microsoft Live. Hay un botón, en dicha fila, con la palabra "PIN", que debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.

Figura 8: Latch Cloud TOTP para Microsoft Live

Application Password en Microsoft Outlook

Al activar la verificación en dos pasos algunas aplicaciones o dispositivos harán saltar un mensaje de error afirmando que la contraseña introducida es incorrecta (a pesar de haberla introducido correctamente) al no poder pedirte un código de seguridad cuando inicies sesión. Si esto te sucede debes recurrir a una contraseña de aplicación para iniciar sesión. Estas contraseñas de aplicación son de uso desde solo un dispositivo y sirven para dar acceso a nuestra cuenta desde una aplicación concreta sin que se pida un segundo factor de autenticación.

Figura 9: Application Passwrods en MIcrosoft Live

Estas contraseñas se crean para accesos continuados como el del cliente de correo electrónico, que cada poco tiempo comprueba de forma automática si hay algún mensaje nuevo. Por lo tanto, no exige verificación en dos passos, pero al mismo tiempo tampoco da acceso a toda la cuenta y si hay un cambio en el fingerprinting de la app que se ha conectado lo detecta.

Figura 10: Password de aplicación creada

Por esto, tendrás que crear una Application Password diferente para iniciar sesión en cada aplicación o dispositivo que no pueda solicitarte un código de seguridad. La contraseña será un código solo válido para una aplicación en concreto. Para adquirir estas contraseñas tendrás que iniciar sesión en tu cuenta y buscar el apartado "Contraseñas de Aplicación" en la configuración de "Mis ajustes de seguridad".

Configuración completa de una verificación en 2 pasos

Desde ElevenPaths os recomendamos que configureis los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que estos lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura. Aquí tenéis el vídeo de cómo configurar Latch Cloud TOTP en Microsoft Live.

Figura 11: Cómo proteger tu cuenta de Microsoft Live con Latch Cloud TOTP

Aquít también tenéis otras referencias, y si necesitas ayuda para cualquier servicio que quieras proteger, no dudes en ponerte en contacto con nosotors vía la Comunidad de ElevenPaths.

- Cómo proteger cuenta Google y Gmail con Latch Cloud TOTP
- Cómo proteger cuenta Dropbox con Latch Cloud TOTP
- Cómo proteger cuenta Facebook con Latch Cloud TOTP
- Cómo proteger tu servidor SSH con Latch Cloud TOTP

Autor: Sergio Sancho at ElevenPaths

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares