Acerca de la autenticación de dos factores para una cuenta
Kaspersky Security Center Linux ofrece un mecanismo de autenticación de dos factores para los usuarios de Kaspersky Security Center Web Console. La autenticación de dos factores se basa en el estándar RFC 6238 (TOTP: algoritmo de contraseña de un solo uso basado en el tiempo).
Cada vez que inicia sesión en Kaspersky Security Center Web Console, ingresa su nombre de usuario, contraseña y un código de seguridad de un solo uso adicional. Para recibir un código de seguridad de un solo uso, debe tener una app de autenticación en el equipo o dispositivo móvil.
La app de autenticación puede ser cualquier software de autenticación que admita el algoritmo de contraseña de un solo uso basado en el tiempo (TOTP), por ejemplo, Google Authenticator. Para generar el código de seguridad de un solo uso, debe sincronizar la hora configurada en el dispositivo con la app de autenticación y con la hora configurada en el dispositivo del Servidor de administración. Para una mayor precisión, recomendamos utilizar los mismos servidores NTP en toda su infraestructura.
Para comprobar si Kaspersky Security Center Linux es compatible con la app de autenticación que desea utilizar, intente configurar la autenticación de dos factores con esta app de autenticación.
En uno de los pasos, se sugiere indicar el código de seguridad de un solo uso generado por la app de autenticación. Si tiene éxito, Kaspersky Security Center Linux es compatible con el autenticador seleccionado.
Generación de un código secreto mediante una app de autenticación
La aplicación de autenticación genera el código de seguridad de la siguiente manera:
- El Servidor de administración genera una clave secreta especial y un código QR.
- Usted le brinda la clave secreta o el código QR generados a la aplicación de autenticación.
- La aplicación de autenticación genera un código de seguridad de un solo uso, que usted transfiere a la ventana de autenticación del Servidor de administración.
Un código de seguridad tiene un identificador denominado nombre del emisor. El nombre del emisor del código de seguridad se utiliza como identificador del Servidor de administración en la aplicación de autenticación. Puede cambiar el nombre del emisor del código de seguridad. El nombre del emisor del código de seguridad tiene un valor predeterminado que es el mismo que el nombre del Servidor de administración. Se asigna un nuevo nombre de emisor del código de seguridad al Servidor de administración después del siguiente inicio de sesión. Los códigos de seguridad son de un solo uso y válidos por hasta 30 segundos (el tiempo exacto puede variar).
Recomendamos que guarde la clave secreta (o el código QR) y los conserve en un lugar seguro. Con esto podrá restaurar el acceso a Kaspersky Security Center Web Console en caso de que pierda el acceso al dispositivo con la app de autenticación.
La autenticación de dos factores tiene las siguientes características:
- A partir de la versión 16.1 del Servidor de administración, la autenticación de dos factores se habilita automáticamente y la opción para configurar la autenticación de dos factores al iniciar sesión está deshabilitada de manera predeterminada. La configuración de la autenticación de dos factores al iniciar sesión solo está disponible para los usuarios que están incluidos en la lista de permitidos para autenticación de dos factores.
- Un usuario puede configurar la autenticación de dos factores solo para su cuenta.
- Un usuario puede excluir cuentas de la autenticación de dos factores. Puede ser necesario para las cuentas de integración que no pueden recibir un código de seguridad de un solo uso para la autenticación. Las cuentas de integración se utilizan para ejecutar scripts a través de OpenAPI.
- Para volver a generar una clave secreta de autenticación de dos factores, el usuario debe restablecer la clave secreta para su propia cuenta.
- Para restablecer o eliminar una clave secreta de autenticación de dos factores para la cuenta de otro usuario, el usuario debe tener una cuenta con autenticación de dos factores configurada y con el derecho Modificar ACL de objetos en el área funcional Características generales: Permisos de usuario.
- Para excluir cuentas de otros usuarios de la autenticación de dos factores o modificar la lista de permitidos para autenticación de dos factores, el usuario debe tener una cuenta con autenticación de dos factores configurada y con el derecho Modificar ACL de objetos en el área funcional Características generales: Permisos de usuario.
- La autenticación de dos factores se habilita automáticamente solo para la versión 16.1 del Servidor de administración. Si otros Servidores de administración primarios o secundarios ejecutan la versión 16 o anteriores, su configuración de autenticación de dos factores no se modificará.
- Un Servidor de administración virtual hereda la configuración de autenticación de dos factores del Servidor de administración físico, de modo que si la autenticación de dos factores está habilitada en el Servidor de administración físico, también se habilita en un Servidor de administración virtual. No puede configurar la autenticación de dos factores en un Servidor de administración virtual.
- Para que la autenticación de dos factores funcione correctamente, debe actualizar el Servidor de administración y la Web Console a la versión 16.1 o posteriores.
Para garantizar una protección integral mediante el uso de la autenticación de dos factores, es necesario proteger no solo el Servidor de administración, sino también el dispositivo en el que está instalado. Para hacer esto, tenga en cuenta las recomendaciones de la Guía para reforzar la seguridad.
Principio de página