Admin Libre - Administración de sistemas y redes

Doble factor de autenticación OTP con oathtool
Por admin el 3 de Abril de 2022

Mitiga el acceso no autorizado en tus cuentas activando doble factor de autenticación OTP sin necesidad de teléfono móvil gracias a oathtool. Este tutorial es válido para Google authenticator.

La autenticación en dos pasos o doble factor de autenticación (2FA) añade una capa de seguridad al proceso de login de usuario y contraseña. Se basa en la idea de que, para que el sistema compruebe que eres tú, sabes algo (usuario y contraseña) y tienes algo (el dispositivo que genera los tokens). El funcionamiento de TOTP se describe en el RFC 6238.

En lugar de un dispositivo inseguro como un smartphone o un navegador es conveniente usar herramientas adecuadas: OATH Toolkit para Linux y login_oath para OpenBSD, y un ordenador secundario, de forma ideal desconectado de Internet, donde generaremos los tokens para poder loguearnos.

Código de activación

Al activar el doble factor de autenticación te facilitan un código de activación, normalmente con el formato es 16 caracteres en base32 sha1. En servicios como Dropbox te facilitan una cadena base32 de 26 caracteres, en este caso necesitas 6 caracteres de relleno para llegar a los 32 caracteres, con lo que para usar un código que sea 'bs23hf62hs4823gd536sg2j8f3' tienes que especificar al programa 'bs23hf62hs4823gd536sg2j8f3======'.

Cómo generar OTPs

Primero ve a tu perfil y activa el doble factor de autenticación (2FA). Te facilitarán un código de activación con su imagen QR junto a un código alfanumérico de 16 caracteres alfanuméricos en base32. En caso de que sólo faciliten la imagen puedes decodificarla instalando el programa ZBar.

Con oathtool en otro ordenador, ejecuta esto:

$ oathtool --totp --base32 "dg35s62hd5bx327d"
634721

Entrando este código pasas a la siguiente pantalla, donde te facilitan un código de recuperación de cuenta de 16 caracteres que debes guardar en un sitio seguro. Este código te servirá para recuperar acceso a la cuenta en caso de pérdida del dispositivo que genera los tokens.

Si todo va bien, cada vez que quieras loguearte ejecutas este comando con estos parámetros para obtener el token necesario. Recuerda tener a salvo estos códigos.

¿Qué hago si mi token 2FA es inválido?

Seguramente se debe a que la hora está mal configurada. Simplemente ajusta la hora en el ordenador y esto debe solucionar el problema.

Destacado