Autenticación multifactor en Moodle™.

Mudel 10/09/2024
0 Comentarios

¿Qué es la autenticación multifactor (AMF)?

La autenticación multifactor (AMF) es una medida de seguridad que requiere que los usuarios verifiquen su identidad utilizando dos o más factores de autenticación. Los factores pueden ser algo que los usuarios conocen, como una contraseña, algo que tienen, como un teléfono o un token de seguridad, o algo que son, como una huella dactilar.

MFA ayuda a mejorar la seguridad de su sitio Moodle porque es más difícil para los atacantes comprometer múltiples factores.

Gestionar la autenticación multifactor

Desde Administración del sitio > Plugins > Herramientas de administración > Gestionar la autenticación multifactor, puedes activar la MFA marcando la casilla Plugin MFA activado.

Si estás configurando MFA para tu sitio por primera vez, te recomendamos que consultes las Recomendaciones y ejemplos de configuración.

Pesos y factores

En Administración del sitio > Plugins > Herramientas de administración > Gestionar autenticación multifactor, puedes ver una lista de los factores disponibles y seleccionar los prefieras para la MFA de tu sitio.

Estos factores tienen puntos de peso, y los usuarios tienen que alcanzar 100 puntos para poder iniciar sesión. Configurando múltiples factores y ajustando sus pesos, puedes crear reglas complejas y flexibles para la autenticación multifactor.

Por ejemplo, puedes tener dos factores con 100 puntos cada uno, si quieres dar a los usuarios diferentes métodos de autenticación. O puedes tener dos factores con 50 puntos cada uno, lo que significa que los usuarios tendrán que pasar por ambos factores para poder iniciar sesión.

Durante el proceso de inicio de sesión, los factores que no requieren la intervención del usuario, como la dirección IP o el rol del usuario, se evalúan en primer lugar. A continuación, se evalúan los demás factores por orden de peso, empezando por el más alto, hasta que los puntos acumulados alcanzan el umbral de inicio de sesión (100) o se han comprobado todos los factores y se deniega el inicio de sesión.

Factores de autenticación disponibles

Factores de autenticación estándar

Se trata de factores de autenticación habituales y bien conocidos que se utilizan en muchos productos y programas informáticos:

Correo electrónico: Este factor requiere que los usuarios introduzcan un código recibido por correo electrónico durante el proceso de inicio de sesión. Cuando un usuario intenta iniciar sesión, el sistema genera un código temporal único y lo envía a la dirección de correo electrónico registrada del usuario. El usuario debe entonces introducir este código junto con su contraseña para completar con éxito el proceso de inicio de sesión. Este código tiene un periodo de validez limitado, que puedes personalizar, para garantizar que no pueda ser utilizado para accesos no autorizados.

Aplicación autenticadora: Este factor utiliza una aplicación móvil para generar un código temporal para la autenticación del usuario. Durante el proceso de inicio de sesión, Moodle pide al usuario que introduzca un código generado por su aplicación autenticadora, además de su contraseña. Este código cambia periódicamente, asegurando que no pueda ser reutilizado para accesos no autorizados. Los usuarios deben tener una aplicación instalada en su dispositivo móvil y configurar este factor ellos mismos.

Clave de seguridad: Este factor utiliza tokens físicos de hardware, como llaves de seguridad USB o NFC, o biométricos físicos como huellas dactilares. Durante el proceso de inicio de sesión, los usuarios deben utilizar físicamente su clave de seguridad en su dispositivo para verificar su identidad. Los propios usuarios deben configurar este factor.

Rango IP: Este factor utiliza la dirección IP de los usuarios para verificar su identidad, proporcionando una mayor seguridad cuando se accede desde una red de confianza. No requiere ninguna configuración previa por parte de los usuarios, lo que le permite configurar un acceso de inicio de sesión completo en una red de confianza. Este factor no requiere ninguna configuración ni actuación por parte de los usuarios.

Teléfono móvil SMS: Este factor requiere un teléfono móvil capaz de recibir mensajes SMS (texto). Durante el proceso de inicio de sesión, Moodle genera un código único de un solo uso y lo envía al número de teléfono móvil registrado del usuario a través de SMS. El usuario introduce este código junto con su contraseña para completar con éxito el proceso de inicio de sesión. Los usuarios deben configurar este factor ellos mismos.

Factores de filtrado de usuarios

Los factores de filtrado de usuarios son una forma de crear fácilmente grupos de usuarios a los que se les exigirá o no el uso de la autenticación multifactor (MFA).

No administrador: Este factor requiere que sólo los administradores tengan dos o más factores de autenticación, sin afectar a otros usuarios. Para ello, otorga puntos de factor a todos los usuarios que no sean administradores.

Tipo de autenticación: Este factor permite a ciertos usuarios omitir pasos de autenticación adicionales en función de su tipo de autenticación. Esto puede ser útil para situaciones en las que ciertos tipos de autenticación, como SAML a través de ADFS , ya proporcionan un alto nivel de seguridad, haciendo innecesarias las comprobaciones de autenticación adicionales.

Rol: Este factor debe utilizarse en combinación con otros factores, ya que permite especificar qué roles deben utilizar otros factores para autenticarse. Por ejemplo, te permite exigir que las personas con privilegios de acceso elevados, como los gestores y administradores, se sometan a un proceso de autenticación más estricto, mientras que otros roles no especificados, como los estudiantes, pueden saltarse el MFA.

Cohorte: Este factor debe utilizarse en combinación con otros factores, ya que permite especificar qué cohortes deben utilizar otros factores para autenticarse.

Capacidad del usuario: Este factor es similar al factor Rol, y también debe combinarse con otros factores, ya que permite especificar qué usuarios deben utilizar otros factores para autenticarse. Para ello, comprueba si los usuarios tienen la capacidad ‘factor/capability:cannotpassfactor’ a nivel de sistema. Los usuarios que no tengan la capacidad ‘factor/capability:cannotpassfactor’ recibirán puntos por este factor y podrán saltarse MFA, mientras que los usuarios con esta capacidad tendrán que utilizar otro tipo de autenticación.

Por ejemplo: Asignas la capacidad ‘factor/capability:cannotpassfactor’ a todos los Gestores, y también activas el factor Email. Cuando un administrador inicie sesión, tendrá que utilizar el factor de correo electrónico. Pero cuando un estudiante intente acceder, no podrá.

Dado que los usuarios Administradores tienen todas las capacidades permitidas por defecto, incluyendo «factor/capability:cannotpassfactor», hay una configuración adicional que permitirá a los Administradores ganar puntos por este factor a pesar de tener la capacidad.

Otros factores

Estos factores proporcionan flexibilidad y control adicionales sobre el proceso de autenticación.

Confiar en este dispositivo: Este factor permite a los usuarios marcar un dispositivo como de confianza durante los inicios de sesión MFA. Una vez que un dispositivo se designa como de confianza, los usuarios pueden omitir MFA durante un periodo de tiempo especificado al iniciar sesión desde ese dispositivo.

Para implementar esta función de forma efectiva, asigna una puntuación de 100 puntos a este factor.

Periodo de gracia: Este factor es esencial cuando activas factores que requieren una configuración previa por parte de los usuarios, como la aplicación de autenticación o la clave de seguridad. Permite a los usuarios iniciar sesión sin utilizar la autenticación multifactor (MFA) durante un periodo de tiempo determinado, proporcionando un periodo de amortiguación para completar la configuración de factores de autenticación adicionales. Si un usuario aún se encuentra dentro de su periodo de gracia al llegar a la primera página posterior al inicio de sesión, independientemente de si utilizó el modo de gracia como factor de inicio de sesión, una notificación le informará de la duración restante del periodo de gracia y de la posible necesidad de configurar factores adicionales para evitar el bloqueo de la cuenta cuando expire el periodo de gracia.

Para aplicar esta función de forma eficaz, asigne una puntuación de 100 puntos a este factor. Para recibir puntos por este factor, no debe haber otros factores que requieran la interacción del usuario durante el proceso de inicio de sesión. Coloque este factor al final de la lista para asegurarse de que todos los demás factores se abordan en primer lugar.

Si el periodo de gracia finaliza y los usuarios no han configurado sus métodos de autenticación, no podrán iniciar sesión en su sitio. Puedes ampliar el periodo de gracia para permitirles iniciar sesión, o habilitar otros factores temporalmente, como el rango de IP o el rol.

Categorías: Seguridad y privacidad en Moodle™
Tags: , ,

Artículos Relacionados

Respuestas

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Por favor confirme que desea bloquear a este usuario.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Add this member as a connection

Please note: This action will also remove this member from your connections and send a report to the site admin. Please allow a few minutes for this process to complete.

Report

You have already reported this .