Protección de cuentas Twitter con Latch y Cloud TOTP

jueves, 4 de mayo de 2017

Recientemente ha sido implementada una nueva funcionalidad en Latch para que los usuarios puedan proteger sus cuentas más utilizadas. Anteriormente se realizó una demostración sobre cómo proteger cuentas de Gmail, Outlook, Salesforce, Facebook y Wordpress con Latch y Cloud TOTP. Hoy llevaremos a cabo otra demostración, en este caso con Twitter. Para ello tendréis que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vídeo se ve cómo funciona.

PREPARANDO TWITTER
En primer lugar, iniciamos sesión con nuestra cuenta de Twitter y accedemos al enlace Mi cuenta. A continuación podremos encontrar el apartado Seguridad  y debajo de este deberemos marcar la casilla Verificación de inicio de sesión. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Twitter ofrece. En este caso nos centraremos en la de TOTP.



Para poder activar la Verificación de inicio de sesión antes debemos de vincular nuestro número de teléfono a nuestra cuenta de Twitter. Podremos hacerlo pulsando sobre añadir un teléfono, la página solicitara que introduzcamos nuestro número de teléfono para enviarnos un código a nuestro terminal con el fin de comprobar que este está bajo nuestro control. En este punto debemos completar la acción introduciendo el código que nos envíen vía SMS.



Una vez introducido el código podremos marcar la casilla Verificación de inicio de sesión y acto seguido nos pedirá que introduzcamos nuestra contraseña y a continuación nos volverá a pedir que verifiquemos nuestro teléfono por medio de otro código, hecho esto nos mostrará un código de recuperación de la cuenta por si alguna vez no podemos acceder con nuestro dispositivo. Al activar la verificación de inicio de sesión aparecerán tres nuevos campos en el apartado de seguridad, seleccionaremos Configurar una aplicación de generación de códigos



Al pulsar sobre el apartado anteriormente mencionado aparecerá en nuestra pantalla un código Qr que podremos escanear desde la aplicación de Latch, tras haber implementado el nuevo servicio en nuestro Latch generaremos un “token” para acabar de configurar la autenticación.

 
CONFIGURANDO LATCH CLOUD TOTP
Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.


Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que podamos escanear el código QR que Twitter nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Twitter con Latch.


INICIANDO SESIÓN CON LATCH CLOUD TOTP EN TWITTER
Tras haber configurado nuestro Latch comprobaremos su correcto funcionamiento, para ello nos dirigimos al login de Twitter e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Twitter y podremos utilizar nuestro Latch.


En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio y generando tokens para la cuenta de Twitter que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.


Desde ElevenPaths os recomendamos que configuréis los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que estos lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura. Las posibilidades que ofrece Latch Cloud TOTP son muy grandes, no dudes en proteger tus servicios y cuentas de una manera más cómoda, rápida y segura. 



Sergio Sancho Azcoitia
Security Researcher at Eleven Paths
sergio.sancho@11paths.com

4 comentarios:

  1. Sencillo y práctico ¡centralizando 2FA! ;)

    ResponderEliminar
  2. Los sms seguiran llegando al telefono ?

    ResponderEliminar
    Respuestas
    1. Desgraciadamente, sí. Igual que si usas el TOTP de Google (Google Auth).

      Míralo como un añadido: así te enteras que intentaron entrar a tu cuenta, porque Twitter se "chiva" de que intentaron entrar a tu cuenta.

      Eliminar
  3. Tengo un problema al usar la app y es que por ejemplo al parearla con twitter, este me sigue enviando un sms con el codigo de inicio de sesion, O al parearla con Facebook o google se activa directamente su propio servicio de verificacion en dos pasos. ¿Como puedo solucionarlo?

    ResponderEliminar