Como proteger login de Github con Latch y Totp

sábado, 17 de junio de 2017

En ElevenPaths hemos implementado la funcionalidad para que puedas proteger tus cuentas más utilizadas con Latch. Como se demostró anteriormente con Gmail, Outlook, Amazon, Wordpress, Salesforce y ProtonMail. Hoy nos centraremos en GitHub y en ver cómo podemos integrar y proteger nuestra cuenta con Latch y Cloud TOTP. Para ello tienes que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vídeo mostramos cómo funciona.


Preparando Github
Lo primero que debemos hacer será iniciar sesión con nuestra cuenta de GitHub, una vez estemos en nuestra página de inicio accederemos a los ajustes en la parte superior de la pantalla (icono con nuestra foto de usuario), seleccionaremos “settings” hecho esto nos dirigiremos al apartado “Security” donde podremos encontrar los datos de nuestra sesión actual y la opción de activar el doble factor de autenticación.



A continuación haremos clic sobre “set up two-factor authentication” para configurar nuestro segundo factor de autenticación, a continuación aparecerán en pantalla las dos opciones que GitHub nos da, autenticarnos a través de una aplicación o vía SMS, en nuestro caso seleccionaremos la opción “Set up using an App”.



Tras pulsar sobre “Set up using an AppGitHub nos mostrará en pantalla un código Qr que deberemos escanear desde nuestra aplicación de Latch para generar el nuevo servicio que queremos proteger. Una vez acabada la configuración de nuestro Latch generaremos un código TOTP y pulsaremos sobre “continue”.


Para finalizar el proceso de configuración deberemos descargar las claves de recuperación que GitHub nos facilita para poder acceder a nuestra cuenta en el caso de que no funcione la verificación en dos pasos, hecho esto podremos pulsar en “Eneable two-factor authentication” para finalizar el proceso de configuración



Configurando Latch Cloud TOTP
Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.



Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que escaneamos el código QR que GitHub nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tendremos protegida nuestra cuenta de GitHub con Latch.



Iniciando sesión con Latch Cloud TOTP en GitHub
Ahora, nos dirigimos al login de GitHub e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de GitHub y podremos utilizar nuestro Latch.




En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio (en este caso GitHub) y generando tokens para la cuenta de GitHub que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo (30 segundos), tal y como nos indica el pequeño reloj que aparece junto al token.



No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura. Las posibilidades que ofrece Latch Cloud TOTP cada vez son más grandes, protege tus servicios y tus cuentas de una forma rápida, sencilla y fiable.

Sergio Sancho Azcoitia
Security Researcher

No hay comentarios:

Publicar un comentario