Acerca de la autenticación de dos factores para una cuenta
Kaspersky Security Center Linux proporciona autenticación de dos factores para los usuarios de Kaspersky Security Center Web Console. La autenticación de dos factores se basa en el estándar RFC 6238 (TOTP: algoritmo de contraseña de un solo uso basada en el tiempo).
Cada vez que inicias sesión en Kaspersky Security Center Web Console, introduces tu nombre de usuario, contraseña y un código de seguridad adicional de un solo uso. Para recibir un código de seguridad de un solo uso, debes tener una app de autenticación en el ordenador o dispositivo móvil.
Cualquier software de autenticación que admita el algoritmo de contraseña de un solo uso basado en tiempo (TOTP) se puede utilizar como app de autenticación, por ejemplo, Google Authenticator. Para generar el código de seguridad de un solo uso, debes sincronizar la hora configurada en el dispositivo con la app de autenticación y con la hora configurada en el dispositivo del servidor de administración. Para una mayor precisión, recomendamos utilizar los mismos servidores NTP en toda tu infraestructura.
Para comprobar si Kaspersky Security Center Linux es compatible con la app de autenticación que quiere utilizar, intente configurar la autenticación de dos factores con esta app de autenticación.
Uno de los pasos sugiere que especifiques el código de seguridad generado por la app de autenticación. Si tiene éxito, Kaspersky Security Center Linux será compatible con el autenticador seleccionado.
Generación de un código secreto mediante una app de autenticación
Una app de autenticación genera el código de seguridad de la siguiente manera:
- El Servidor de administración genera una clave secreta especial y un código QR.
- Usted pasa la clave secreta generada o el código QR a la app de autenticación.
- La app de autenticación genera un código de seguridad de un solo uso que usted debe ingresar en la ventana de autenticación del Servidor de administración.
Un código de seguridad tiene un identificador denominado nombre del emisor. El nombre del emisor del código de seguridad se utiliza como identificador del Servidor de administración en la app de autenticación. Puedes cambiar el nombre del emisor del código de seguridad. El nombre del emisor del código de seguridad tiene un valor predeterminado que es el mismo que el nombre del Servidor de administración. Se asigna un nuevo nombre de emisor del código de seguridad al servidor de administración después del próximo inicio de sesión. Los códigos de seguridad son de un solo uso y válidos por hasta 30 segundos (el tiempo exacto puede variar).
Le recomendamos especialmente que guarde la clave secreta (o el código QR) y los conserve en un lugar seguro. Con esto, evitarás quedar sin acceso a Kaspersky Security Center Web Console si no puedes utilizar el dispositivo móvil.
La autenticación de dos factores tiene las siguientes funciones:
- A partir de la versión 16.1 del servidor de administración, la autenticación de dos factores se activa automáticamente y la opción de configurar la autenticación de dos factores al iniciar sesión está desactivada de forma predeterminada. La configuración de la autenticación de dos factores al iniciar sesión solo está disponible para los usuarios incluidos en la lista de permitidos de autenticación de dos factores.
- Un usuario puede activar la autenticación de dos factores solo para su propia cuenta.
- Un usuario puede excluir cuentas de la autenticación de dos factores. Puede ser necesario para las cuentas de integración que no pueden recibir un código de seguridad de un solo uso para la autenticación. Las cuentas de integración se utilizan para ejecutar scripts a través de OpenAPI.
- Para volver a generar una clave secreta de autenticación de dos factores, un usuario debe restablecer la clave secreta para su propia cuenta.
- Para restablecer o eliminar una clave secreta de autenticación de dos factores para la cuenta de otro usuario, un usuario debe tener una cuenta con la autenticación de dos factores configurada y con el derecho Modificar LCA de objeto en el área funcional Funciones generales: Permisos de usuario.
- Para excluir cuentas de otros usuarios de la autenticación de dos factores o modificar la lista de permitidos de autenticación de dos factores, un usuario debe tener una cuenta con la autenticación de dos factores configurada y con el derecho Modificar LCA de objeto en el área funcional Funciones generales: Permisos de usuario.
- La autenticación de dos factores se activa automáticamente solo para la versión 16.1 del servidor de administración. Si otros servidores de administración principal o servidores de administración secundario están ejecutando la versión 16 o anterior, su configuración de autenticación de dos factores permanecerá sin cambios.
- Un servidor de administración virtual hereda la configuración de autenticación de dos factores del servidor de administración físico, de modo que si la autenticación de dos factores está activada en el servidor de administración físico, también lo está en un servidor de administración virtual. No puedes configurar la autenticación de dos factores en un servidor de administración virtual.
- Para que la autenticación de dos factores funcione correctamente, debe actualizar el servidor de administración y Web Console a la versión 16.1 o posterior.
Para garantizar una protección completa mediante el uso de la autenticación de dos factores, es necesario proteger no solo el servidor de administración, sino también el dispositivo en el que está instalado. Para hacer esto, ten en cuenta las recomendaciones de la Guía para reforzar la seguridad.
Principio de página