domingo, diciembre 15, 2013

Cómo Probar Latch: Un Tutorial Step by Step con 0xWord

Uno de los primeros sitios donde hemos puesto Latch en producción ha sido la web de 0xWord. Para eso hemos configurado el plugin de PrestaShop que puedes descargar gratuitamente desde el area de Developer de Latch - allí te puedes sacar una cuenta gratis también -. Si quieres probar Latch, puedes seguir el siguiente tutorial, para que repases todos los pasos que están descritos en Latch: Cómo proteger una identidad digital.

Primera Fase: Descargar la app de Latch 

Para poder gestionar los pestillos digitales de tus identidades lo primero que necesitas es sacarte una cuenta de Latch y tener la app en tu smartphone. El registro de la cuenta lo puedes hacer desde la misma app. Las apps están en los markets de aplicaciones y puedes descargarte ya la de Android y la de iPhone.

Figura 1: App de Latch para Android en Google Play

La app de Windows Phone está en proceso de aprobación y en fase de desarrollo están las apps de BlackBerry y Firefox OS y desde la parte de Downloads de la web tendrás acceso a ellas en cuanto estén.

Segunda Fase: Configuración de Latch en 0xWord

Para configurar Latch en 0xWord debes entrar dentro de las propiedades de tu cuenta de 0xWord. Si no tienes cuenta y quieres probarlo puedes sacarte una. Una vez dentro de las opciones de tu cuenta, a la derecha se ha puesto el plugin de Latch, para que se pueda configurar. 

Figura 2: Acceso a la configuración de Latch en opciones de Mi cuenta en 0xWord

Cuando se accede al plugin de configuración de Latch, lo que primero encuentras es una explicación detallada del servicio y un botón que da acceso al pareado de la cuenta con Latch. Para ello, haz clic en el botón de Protect your account with Latch.

Figura 3: Acceso a la configuración de Latch en 0xWord

Desde ese botón se llega al lugar en el que hay que introducir el código temporal de pareado, donde además se explica el proceso de forma detallada en imágenes para que sea más fácil de seguir el proceso.

Figura 4: Lugar para introducir el código temporal de pareado

El siguiente paso lo tienes que hacer en la app de tu smartphone. Para ello debes solicitar añadir un nuevo servicio y luego solicitar un código temporal de pareado, tal y como se ve en las imágenes siguientes.

Figura 5: Solicitud de un código de temporal de pareado en Latch para iPhone

Tras conseguir el código de pareado que te enviará el servidor, tienes 60 segundos para introducirlo en el plugin de Latch de 0xWord. Este proceso solo se debe realizar una única vez, y si el código de pareado se caduca antes de tiempo, no pasa nada, puedes solicitar otro nuevo y listo.

Figura 6: Introducción del código temporal de pareado en 0xWord

Una vez pareada la cuenta, el plugin de Latch en 0xWord cambiará y dará la opción al usuario de quitar el Latch. Además, se recibirá una alerta en la app del móvil que informará de que se ha añadido un nuevo servicio a la lista de identidades que pueden protegerse.

Figura 7: Cuenta de 0xWord protegida con Latch

Tercera Fase: Simulando un intento de acceso no deseado

Si quieres probar el sistema, puedes bloquear la identidad en la app de Latch. Cierra la sesión en 0xWord e intenta entrar con la contraseña correcta. La web no te lo permitirá y como verás en tu app, recibirás una alerta informándote de que alguien intentó acceder a tu cuenta.

Figura 8: Bloqueando un acceso en 0xWord con Latch

Si recibes esta alerta y no has sido, es que alguien tiene tu password, así que la recomendación es no cambiar el estado de la cuenta a Unlocked e ir a resetear la password.

Cuarta Fase: Probando el One-Time Password

Una opción extra que añadimos al sistema es la de que el usuario pueda utilizar un código OTP (One-Time Password) para validar el acceso. Esto le permite al dueño de la cuenta hacer una delegación del uso de la identidad y controlar el número de veces que se hace login. En 0xWord esto es un opt-in, es decir, el dueño del Latch decide si quiere usarlo o no. Para configurarlo es necesario poner la cuenta a Unlocked, pero configurando la opción de OTP en el menú que se puede ver a continuación.

Figura 9: Configurando el acceso a 0xWord con una validación OTP de Latch

Cuando nos vayamos a conectar a 0xWord se pedirá por pantalla el OTP y al mismo tiempo se recibirá en la app del terminal móvil. El código también caduca al tiempo, dependiendo de la configuración del sitio web.

Figura 10: Validando el acceso a 0xWord con un código OTP de Latch

Si lo has probado, y tienes cuenta en 0xWord, ya puedes ponerle tu Latch y dejarla bloqueada para estar seguro de que nadie accede a la información de tu cuenta robando la contraseña.

Figura 11: Area de developer en Latch

Si tienes un PrestaShop, puedes poner esta misma protección para todos tus clientes. Descárgate el plugin gratis del área de developer de Latch, configúralo y ponlo a prueba.

Saludos Malignos!

9 comentarios:

  1. Hola interesante este tema de Latch... seguiré de cerca el proyecto y en estos días lo integro con alguna aplicación a ver como me va... saludos

    ResponderEliminar
  2. Muy interesante, alstima que es incompatible con mi XT860 con Android 2.3.6
    Funcionara en algun momento o me compro un Moto X?

    ResponderEliminar
  3. Buenas Chema. Tengo Latch integrado con un servidor SSH, pero voy a flashear mi móvil, por lo que imagino que perderé el acceso a esa cuenta de usuario SSH que tengo protegida, y no es lo que deseo. ¿Cómo puedo desparear, si es que es eso lo que hay que hacer, mi usuario SSH de la aplicación, o como elimino esta capa de protección para luego añadirla de nuevo en el nuevo sistema del móvil?

    No he visto otro sitio donde escribir esto, así que te lo dejo como comentario en el blog y a ver si me puedes responder :)

    Felicidades por el blog y por lo que eres, un saludo!

    ResponderEliminar
  4. @Raúl Díez Sánchez, no pasa nada. Instálate la app cuando hayas instalado el equipo, luego vuelve a entrar con tu usuario de Latch y listo. Tendrás todos tus latches.

    Saludos!

    ResponderEliminar
  5. @Maligno Vaya rapidez! De acuerdo, creía que funcionaba como Authenticator, en el que hay que reparear todo de nuevo. Entonces Latch es mucho mejor aún de lo que pensaba! :D

    ResponderEliminar
  6. Chema , una pregunta , podrias poner como parear Facebook con Latch? Te lo agradeceria , un saludo

    ResponderEliminar
  7. Mi pregunta es: ¿se pude parear lacth con gmail y hotmail? y ademas ¿como lo hago?,
    una mas, ¿se puede utilizar hatch para cuando alguien trata de iniciar una sección en tu ordenador con tu cuenta y así mediante el pestillo cerrado no pueda ingresar?

    Déjame darte las gracias por este gran aporte de seguridad a la comunidad cibernetica .... GRACIAS

    ResponderEliminar
  8. ¡Buenos días Anónimo!

    Los principales interesado en que Latch se integre con servicios como GMail, Hotmail, Twitter, etc.., como usted podrá entender somos los que formamos el equipo de Eleven Paths. La implementación de Latch en esos servicios requiere una tarea de negociaciones y acuerdos comerciales, que ya se está realizando, pero que de momento no tiene plazo y como tal no podemos responder a ciencia cierta ya que son muchos los factores que pueden hacer que esto se lleve a cabo o no.

    Por Ejemplo: aunque no existe la posibilidad oficial de utilizar Latch en Facebook de forma nativa, nuestro C.O explica en su Blog como integrarlo:

    http://www.elladodelmal.com/2015/01/un-hack-con-latch-para-controlar.html


    A día de hoy, los servicios oficiales en los que contamos con Latch integrado son los que puede ver en nuestra página web. Pero como le comentábamos anteriormente esperamos ver crecer esta lista poco a poco, con paso firme pero seguro.

    https://latch.elevenpaths.com/www/where.html


    Reciba un cordial saludo del equipo de ElevenPaths.

    ResponderEliminar
  9. Alguien me puede decir si se puede sacar la cuenta de LATCH,y si se puede sacar me dicen como? Por favor se los agradecería mucho.

    ResponderEliminar