1. (Opcional) Adquirir los componentes de hardware necesarios
2. (Opcional) Comprender los dispositivos biométricos y las opciones del sistema operativo
3. Activar la autenticación de dos factores por hardware
4. Los usuarios registran sus dispositivos
5. Los usuarios obtienen códigos de copia de seguridad en caso necesario
Además de la opción tradicional de inicio de sesión mediante correo electrónico (nombre de usuario) y contraseña, Provet Cloud también ofrece varias opciones de inicio de sesión mediante contraseña. Estas funciones utilizan el sistema WebAuthn.
La opción de inicio de sesión por hardware significa utilizar tokens físicos (llaves) con un lector NFC conectado a un ordenador. Los usuarios sólo tienen que utilizar la llave e introducir un código pin de 4 dígitos para acceder a Provet Cloud en la configuración más sencilla. Provet Cloud no proporciona los tokens ni los lectores NFC, sino que deben adquirirse por separado. Esto es más adecuado para estaciones de trabajo compartidas en la clínica. La clínica puede comprar un lector NFC para cada estación de trabajo compartida y llaves de seguridad para todos los empleados que necesiten acceso.
Con la opción de inicio de sesión biométrico , los usuarios pueden aprovechar los dispositivos biométricos que ya pueden estar conectados o integrados en dispositivos, como un lector de huellas dactilares en un ordenador portátil. Se admiten Face ID y Touch ID de Apple, así como funciones similares en dispositivos Windows 10. Los usuarios solo tienen que utilizar el método biométrico e introducir un código pin de 4 dígitos para acceder a Provet Cloud, en la configuración más sencilla. Se recomienda si los usuarios disponen de dispositivos personales compatibles con la autenticación biométrica.
Nota
Las opciones de inicio de sesión de Passkey se han probado con el navegador Chrome en macOS y Windows 10. Es posible que las opciones no funcionen correctamente con otras combinaciones de navegador y sistema operativo.
Si opta por configurar las opciones de clave de seguridad de hardware, necesitará dispositivos NFC compatibles y claves de seguridad que pueden adquirirse directamente de los fabricantes o de tiendas web bien equipadas. En teoría, los lectores NFC integrados también deberían funcionar. Los lectores deben estar conectados con las estaciones de trabajo que necesiten la funcionalidad.
El Feitian R502-CL es un lector de tarjetas inteligentes/NFC que ha resultado ser compatible con la verificación WebAuthn sin contacto en dispositivos Windows 10. Se ha probado con dispositivos NFC Feitian y Yubico Security Key.
Se recomienda el lector Feitian porque tiene:
-
Precio más bajo (aprox. 27 € frente a 40 €, sin IVA)
-
Cordón más largo
-
Falta de altavoces integrados (no emite sonidos cuando se leen tarjetas/teclas).
Consejo: Recomendamos comprar directamente a Feitian para obtener el menor coste posible.
El ACS ACR1252U es un lector NFC que ha resultado ser adecuado para la autenticación sin contacto utilizando Windows 10. El dispositivo ACR1252U (Amazon link) debería estar disponible en varias tiendas electrónicas y tiendas locales de electrónica. El lector debe conectarse al ordenador mediante una conexión USB.
La autenticación se produce cuando el lector NFC lee una clave de seguridad física. Todos los usuarios que necesiten esta funcionalidad necesitarán su propia clave.
La Security Key NFC de Yubico es la opción recomendada para este flujo de trabajo. La llave admite tanto la verificación de dos factores como los inicios de sesión sin contraseña. Las variantes NFC también pueden utilizarse con lectores NFC compatibles cuando se utiliza Windows 10, o con dispositivos inteligentes habilitados para NFC como iPhones o teléfonos Android más recientes.
Yubico ofrece un software llamado YubiKey Manager que permite a los usuarios restablecer el código PIN del hardware, restablecer todo el dispositivo o cambiar en qué interfaces funciona la clave de seguridad (por ejemplo, podría desactivar NFC).
Ten en cuenta que ha habido muchas versiones de Security Keys, y que los dispositivos más antiguos carecen de compatibilidad con FIDO2, por lo que no pueden utilizarse para la autenticación sin contraseña.
La empresa que fabrica el lector NFC recomendado también fabrica llaves de seguridad adecuadas. En este caso se recomienda la llave Yubico porque ofrece una mayor facilidad de uso: se registra casi inmediatamente después de dar el código PIN, mientras que las llaves Feitian tienen un retardo de 4 segundos.
Si elige la opción biométrica, asegúrese de conocer las funciones y limitaciones por dispositivo.
Los ordenadores con Windows 10 pueden utilizarse para la verificación de dos factores o el inicio de sesión sin contraseña mediante Windows Hello, que admite códigos PIN, reconocimiento facial y lectura de huellas dactilares. Esto puede hacerse mediante hardware integrado (por ejemplo, lectores incorporados en ordenadores portátiles) o accesorios externos (por ejemplo, cámaras web compatibles con Windows Hello).
No se recomienda utilizar Windows Hello con cuentas de usuario de Windows compartidas. El uso de un ordenador compartido con cuentas de usuario de Windows independientes está bien.
La configuración de la clave de acceso se puede gestionar en Configuración > Cuentas > Opciones de inicio de sesión. Esto permite a los usuarios configurar o cambiar su código PIN, gestionar las huellas dactilares almacenadas, ver las credenciales guardadas (para la autenticación sin contraseña), gestionar las funciones de Windows Hello y otras características.
El VeriMark Pro Key se anuncia como lector de huellas dactilares compatible con FIDO2. Funciona como un autenticador de Windows Hello. Como tal, solo es compatible con dispositivos Windows 10.
Las huellas dactilares deben añadirse primero a una cuenta de Windows y sólo entonces se pueden utilizar para el inicio de sesión de Provet Cloud. No es posible utilizar diferentes huellas digitales para iniciar sesión en diferentes cuentas de Provet Cloud desde una única cuenta de usuario de Windows. En su lugar, cada usuario en un ordenador debe tener su propia cuenta de Windows que necesita utilizar para iniciar sesión.
Este dispositivo se recomienda si desea implementar el inicio de sesión de Windows Hello en ordenadores sin lector de huellas dactilares integrado o cámara web compatible para el reconocimiento facial. No debería adquirirse como llave de seguridad biométrica portátil; la próxima YubiKey Bio sería una mejor candidata para este tipo de implementación. Actualmente, YubiKey Bio sólo está disponible a través de un programa de preestreno cerrado.
Las funciones Face ID y Touch ID de Apple están disponibles para el inicio de sesión con clave de acceso, proporcionando opciones de reconocimiento facial y huellas dactilares respectivamente. Consulta el manual de tu dispositivo para ver qué funciones son compatibles.
Google Chrome en dispositivos Apple permite a los usuarios gestionar sus autenticadores web en Configuración > Privacidad y seguridad > Seguridad > Gestionar claves de seguridad.
Esto permite a los usuarios configurar o cambiar su código PIN, gestionar las huellas dactilares almacenadas, ver las credenciales guardadas (para la autenticación sin contraseña) y reiniciar completamente el dispositivo si es necesario.
Se puede acceder al área de control principal desde Ajustes > Usuarios > Ajustes de contraseña. Allí hay dos ajustes relevantes, con varios modos para elegir. Estos ajustes se aplican a toda la organización.
Habilitar autenticación de dos factores por hardware (Autenticación web) - Esta configuración habilita las opciones de inicio de sesión por hardware y por clave biométrica.
Modo de autenticación web - Permite seleccionar entre las opciones de inicio de sesión que se describen a continuación.
Sólo verificación de dos factores - En este modo, los usuarios tienen que introducir su correo electrónico (nombre de usuario) y contraseña normalmente para iniciar sesión, Y verificar con uno de los métodos de clave de acceso disponibles para ellos.
Verificación de dos factores e inicio de sesión sin contraseña - En este modo, los usuarios pueden utilizar su correo electrónico (nombre de usuario) y el método de inicio de sesión de contraseña normalmente CON verificación adicional requerida O iniciar sesión utilizando sólo el autenticador (método de clave de acceso disponible para ellos).
Sólo inicio de sesión sin contraseña - En este modo, el usuario puede iniciar sesión con el correo electrónico (nombre de usuario) y la contraseña normalmente, O utilizar sólo el autenticador (método de clave de acceso disponible para ellos).
|
Modo |
Correo electrónico y contraseña de acceso |
Autenticador de inicio de sesión |
|
Sólo dos factores (por defecto) |
Posible, requiere autentificador |
No es posible |
|
Dos factores y sin contraseña |
Posible, requiere autentificador |
Posible |
|
Sólo sin contraseña |
Posible, no se requiere autenticador |
Posible |
Una vez activada la autenticación de dos factores como se ha descrito anteriormente, los usuarios pueden registrar nuevos dispositivos y gestionar los existentes desde su página de perfil de usuario a la que se accede desde la parte superior derecha, seleccionando el menú que se abre a partir de su nombre de usuario.
En la página de perfil del usuario, hay una sección llamada "Autenticación multifactor". Allí pueden ver los dispositivos registrados o añadir uno nuevo con el botón "Registrar dispositivo".
También pueden eliminar o editar cualquier autenticador existente, pero la eliminación de un autenticador de clave de paso no lo eliminará de la memoria del autenticador: si se desea, se deben utilizar otros métodos dependientes del dispositivo para eliminar las credenciales del dispositivo.
Contraseña - Una vez que optan por registrar un nuevo dispositivo, aparece un nuevo diálogo. Para añadir un nuevo dispositivo, primero deben confirmar su contraseña de usuario existente de Provet Cloud para poder registrar un dispositivo.
Opción sin contraseña - A continuación, pueden decidir si el inicio de sesión será sin contraseña o no. Esto se recomienda para facilitar el uso, pero puede que no funcione con todos los dispositivos. Tenga en cuenta que si la opción sin contraseña está activada, no se puede desactivar sin quitar y registrar el dispositivo de nuevo.
Tipo de autenticador - Por último, pueden elegir si van a añadir un autenticador portátil como el lector YubiKey+NFC mencionado anteriormente, o un autenticador en el dispositivo como un lector de huellas dactilares o Face ID. Como dice el texto informativo, un autenticador portátil se puede mover entre ordenadores, pero los datos de un autenticador en el dispositivo se almacenarán en el propio dispositivo (Windows Hello, Touch ID de Apple).
Apodo - Tenga en cuenta que también se puede dar un apodo al dispositivo, pero sólo editando el dispositivo después del registro inicial.
Con el fin de ayudar a los usuarios en los casos en que se queden fuera de su cuenta si la autenticación falla por alguna razón, se proporciona una función de código de copia de seguridad. Los códigos de seguridad son un conjunto de 10 códigos alfanuméricos de 8 caracteres que distinguen entre mayúsculas y minúsculas y que pueden utilizarse para evitar el sistema de autenticación tras introducir correctamente el correo electrónico (nombre de usuario) y la contraseña.
Los códigos de copia de seguridad pueden generarse desde la página de perfil del usuario. Aparecerá un botón para ello junto al botón de registro de dispositivos una vez que se haya añadido al menos un dispositivo.
Un cuadro de diálogo muestra los códigos y también permite generar códigos nuevos si todos los códigos están usados o comprometidos. Los códigos de reserva deben almacenarse externamente, en un lugar seguro pero de fácil acceso para el usuario.
Nota
La opción de código de seguridad no es visible en la página de perfil de usuario si se utiliza la opción de sólo contraseña, ya que los usuarios pueden iniciar sesión normalmente con su correo electrónico (nombre de usuario) y contraseña si el dispositivo no está disponible o no funciona.
Los administradores con derechos de gestión de usuarios pueden comprobar y controlar los autenticadores multifactor de los usuarios abriendo el perfil de un usuario desde Configuración > Usuarios.
Al seleccionar la opción "Restablecer la información de autenticación en dos pasos" y guardar, se eliminan todos los dispositivos del usuario y éste puede empezar a restablecer su configuración iniciando sesión normalmente con su correo electrónico (nombre de usuario) y contraseña.
Actualización
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.