Microordenadores - Desarrollos modernos para sistemas retro

Como activar 2FA TOTP sin teléfono móvil
12 de Julio de 2017

Mitiga el riesgo de que alguien acceda a tu cuenta activando un segundo factor de autenticación TOTP sin necesidad de smartphone gracias a oathtool. Este tutorial es válido para Google authenticator.

La autenticación en dos pasos o doble factor de autenticación (2FA) añade una capa de seguridad al proceso de login de usuario y contraseña. Se basa en la idea de que, para que el sistema compruebe que somos nosotros, tenemos que saber algo (usuario y contraseña) y tener algo (el dispositivo que genera los tokens). El funcionamiento de TOTP se describe en el RFC 6238.

En lugar de un dispositivo inseguro como un smartphone o un navegador es conveniente usar herramientas adecuadas: OATH Toolkit para Linux y login_oath para OpenBSD, y un ordenador secundario, de forma ideal desconectado de Internet, donde generaremos los tokens para poder loguearnos.

Código de activación

Al activar el doble factor de autenticación te facilitan un código de activación, que en el caso del registrador de dominios Joker.com el formato es 16 caracteres en base32 sha1. En servicios como Dropbox te facilitan una cadena base32 de 26 caracteres, en este caso necesitas 6 caracteres de relleno para llegar a los 32 caracteres, con lo que para usar un código que sea 'bs23hf62hs4823gd536sg2j8f3' tienes que especificar al programa 'bs23hf62hs4823gd536sg2j8f3======'.

Cómo generar OTPs

Primero ve a tu perfil y activa el doble factor de autenticación (2FA). Te facilitarán un código de activación con su imagen QR, de ahí coge dicho código que, como dije antes, es 16 caracteres alfanuméricos en base32. Con oathtool en otro ordenador, ejecuta esto:

$ oathtool --totp --base32 "dg35s62hd5bx327d"
634721

Entrando este código pasas a la siguiente pantalla, donde te facilitan un código de recuperación de cuenta de 16 caracteres que debes guardar en un sitio seguro. Este código te servirá para recuperar acceso a la cuenta en caso de pérdida del dispositivo que genera los tokens.

Si todo va bien, cada vez que quieras loguearte ejecutas este comando con estos parámetros para obtener el token necesario. Recuerda tener a salvo estos códigos.

¿Qué hago si mi token 2FA es inválido?

Seguramente se debe a que la hora está mal configurada. Simplemente ajusta la hora en el ordenador y esto debe solucionar el problema.


Contenido relacionado: