sábado, agosto 25, 2018

¿Cuándo usé mis tokens TOTP? Latch te lo dice

Hace ya tiempo, cuando decidimos que había que incorporar los tokens TOTP a nuestra app de Latch, vimos que una característica que podía ser de mucha utilidad era tener un registro de todos y cada uno de los instantes en el que un token TOTP ha sido mostrado por pantalla en la aplicación. Esta información puede ser valiosa, ya que, aunque no es información de la fecha y la hora de login, sí que es información que acota cuándo el usuario ha podido realizar un acceso utilizando el proceso de autenticación en dos fases.

Figura 1: ¿Cuándo use mis tokens TOTP? Latch te lo dice

Es decir, para autenticarse en un sistema con un doble factor basado en un token TOTP, el usuario debe visualizarlo en la app y teclearlo durante el proceso de login en el portal de autenticación del sitio o la plataforma. Teniendo la información de cuándo ha sido mostrado en la app, el dueño de la identidad podrá saber cuándo pudo iniciar sesión y detectar anomalías de accesos. 


Figura 2: Demo de Latch Cloud TOTP con Dropbox

Así, se podrían detectar accesos paralelos, robos de tokens OAuth, o que alguien tiene un duplicado de la semilla TOTP y está haciendo uso de esta información, cruzando registros de login de otros sistemas.

- Latch para Android
- Latch para iOS

En la última actualización de Latch, además de meter mejoras con respecto a copiar los tokens TOTP en el portapapeles, o añadir soporte para tokens TOTP de hasta 8 dígitos de longitud, se ha añadido la visualización del log de TOTPs. Para ello, desplazando con el dedo la entrada de TOTP en Latch hacia la derecha se accede al menú.

Figura 3: Opciones de una entrada TOTP en Latch 

Las cuatro opciones ya las conocéis. La primera es para renombrrar la entrada, la segunda es para ordenarlo dentro de un grupo o carpeta, la tercera opción es para borrar la entrada, y la cuarta es para tener información del log TOTP y saber cuándo la app de Latch mostró un token TOTP válido. Además, en la parte de abajo y hay posibilidades de acceder a las estadísticas de uso de esos datos.

Figura 4: Estadísticas de visualizaciones de un token TOTP

Con esta información se tiene más detalle de cómo la protección de nuestras identidades está funcionando. No es tan completa como la información de log que tenemos de todos los accesos de una identidad protegida con un Latch como os conté en este artículo, pero al menos acota los márgenes de tiempo e incrementa la información que dan otros sistemas como Google Authenticator.

Saludos Malignos!

No hay comentarios:

Publicar un comentario