Autenticación de dobre factor

Protexernos fronte ao roubo do noso contrasinal.

Evitar que os piratas informáticos actúen coma se fosen nós mesmos.

Guía rápida en tres pasos: siga as instrucións nos destacados da parte inferior desta páxina.

Comportamento no día a día co segundo factor: vexa o apartado "O día a día" nos destacados da parte inferior desta páxina.

Protección fronte á suplantación de identidade

Dez ideas relevantes sobre o dobre factor

1. Reforzar a seguridade da dupla usuario-contrasinal para identificarnos ao inicio de sesión nos sistemas da USC.

2. Impedir que un atacante entre no noso correo electrónico ou nas aplicacións que usamos coas nosas credenciais.

3. Posuír un segundo factor de autenticación non accesible ao atacante.

4. Implantar de inmediato o segundo factor. Dentro de pouco tempo vai ser obrigatorio.

5. Usar MS Authenticator para autorizar o inicio de sesión a través do seu teléfono móbil, institucional ou privado. Esta aplicación serve para outros sistemas que precisen dun segundo factor, non só para a USC.

6. Alternativa e/ou complementariamente, o segundo factor pode ser unha chamada á extensión fixa do despacho ou calquera outro número que vostede use.

7. Poñer máis dun mecanismo para o segundo factor. Consigne algún outro alternativo por se non pode usar o principal.

8. Lembrar que, cando cambie de móbil ou de extensión, debe configurar os mecanismos do dobre factor para os novos elementos.

9. Apagar os ordenadores durante a noite e as fins de semana. Manter sesións abertas desatendidas de Outlook, Teams e similares producen requirimentos de renovación da identificación de inicio de sesión, feitos polo sistema, que poden levar a distorsións e bloqueos da conta.

10. O CAU da universidade pode proporcionarlle axuda durante todo o proceso. Debido ao elevado número de persoas que poden solicitar a súa intervención, pregamos comprensión en caso de conxestión do servizo.

Probablemente vostede leva sufrido múltiples intentos de piratear o seu contrasinal con toda clase de trampas para que entre en páxinas fraudulentas nas que debe introducir as credenciais de acceso á USC. Algúns destes intentos teñen éxito e xa padecemos ataques destinados a conseguir aboar facturas nas contas do pirata, a que se abran arquivos con virus para secuestrar os datos e pedir rescate por eles e moitas máis actividades delituosas, potencialmente moi graves para nós como persoas individuais e para a Universidade no seu conxunto.

Isto ocorre tamén noutros moitos ámbitos: tecnolóxico, bancario, empresarial ou institucional; sempre coa idea de que o atacante poida suplantar a identidade dun usuario e obter un rendemento económico ou danar os sistemas de información.

Para tentar evitalo existe un sistema que lle impide a un pirata informático suplantar a nosa identidade aínda que coñeza o contrasinal de acceso que utilizamos. Consiste en impoñer a confirmación da identidade do usuario polo menos de dúas formas diferentes:

Con algo que sabe (contrasinal, pin,...)
Con algo que ten (teléfono móbil, tarxeta de coordenadas,...)
Con algo que é (impresión dixital, recoñecemento facial,...)

Utilizar dúas destas formas de identificación para iniciar sesión nos sistemas de información aos que temos acceso é coñecido como autenticación de dobre factor.

Cómpre, polo tanto, explicar que a USC está a implantar para todo o seu persoal a exixencia dun segundo factor de autenticación que complemente a tradicional dupla usuario-contrasinal. Esta implantación xa ten varias fases completadas con éxito para determinados grupos de persoas e, agora, comeza outra para que calquera usuario da USC poda incorporarse. Nun futuro próximo será obrigatorio o uso dun segundo factor.

A continuación respondemos ás cuestións que poden xurdir para comprender mellor este proceso.

Autenticación multifactor é unha medida de seguridade que engade unha segunda (ou máis) capa de protección para verificar contas en liña, solicitándolle ao usuario unha confirmación da súa identidade mediante o uso dun dispositivo ou elemento que só pode estar en poder do propio usuario. Deste xeito, un pirata que coñeza o seu contrasinal non podería iniciar sesión con esa conta, xa que non tería opción de superar o segundo factor.

O primeiro factor usualmente é algo que coñecemos (a dupla código de usuario-contrasinal) e o segundo factor usualmente é algo que temos (teléfono móbil ou fixo, tarxeta con certificado de identidade, token ou chave física, etc.) ou algo que somos (a nosa impresión dixital, o iris do ollo, etc.).

Afectará aos inicios de sesión en dous contornos diferentes:

Aplicacións web que teñan activado o dobre factor, como Xescampus, Sede Electrónica, SICUS, Docencia Virtual e calquera outra que, por motivos de seguridade ou exixencias do Esquema Nacional de Seguridade, debamos incluír.
Aplicacións incluídas en Microsoft 365, como Teams, correo electrónico mediante Outlook, OneDrive, Share Point e o resto de produtos da familia.

A frecuencia coa que pedirá o segundo factor pode regularse premendo nalgunha das opcións que se nos ofrecerán cando cubramos o segundo factor. Poden pasar ata cinco días sen ter que volver cubrilo no mesmo dispositivo pero, sempre que usemos un dispositivo diferente, pedirao de novo. É dicir, un atacante que coñeza o noso contrasinal verá que se lle solicita o segundo factor para entrar no noso correo electrónico ou nas aplicacións citadas, xa que está usando un dispositivo diferente, descoñecido para o sistema.

Microsoft Authenticator instalado no teléfono móbil do usuario.

MS Authenticator é unha aplicación dispoñible nas tendas de Android e de Apple, instalable no teléfono móbil do usuario, tanto ten que sexa persoal ou corporativo. O número de teléfono non se lle comunica de ningún xeito á USC e o usuario ten absoluta privacidade no uso deste elemento para recibir as peticións de confirmación do inicio de sesión que o sistema lle vai enviar. Ademais, esta aplicación permite usala para outros sistemas, alleos á USC, que precisen dunha autenticación complementaria

Chamada a un ou varios teléfonos. O usuario responderá e seguirá as instrucións que unha locución indique.

Estes elementos serán sucesivos; é dicir, establecerase unha orde de prioridade e, primeiro, o sistema tentará confirmar o inicio de sesión co método máis prioritario; de non conseguilo, utilizará o segundo e así sucesivamente.

Por exemplo, un usuario ten configurados os seus mecanismos de dobre factor do xeito que indica a imaxe:

En primeiro lugar, o sistema solicitará ao móbil do usuario que confirme o inicio de sesión con Microsoft Authenticator.

Se o usuario non ten o teléfono consigo, non ten batería ou non completa a confirmación, efectuará unha chamada ao primeiro teléfono consignado (a extensión fixa do despacho, por exemplo). Se non obtén resposta, chamará ao segundo teléfono indicado na configuración.

Vostede poderá incluír cantos números de teléfono considere oportunos, pero teña en conta que deben ser sempre teléfonos de confianza e que, se o proceso non ten éxito, vostede non poderá iniciar a sesión solicitada.

Nesta fase de implantación utilizaremos MS Authenticator como método principal pola súa facilidade de manexo e a posibilidade de utilizalo en calquera circunstancia: no despacho, fóra del, no estranxeiro, etc. Limitar o mecanismo de segundo factor á extensión fixa do despacho restrinxe o traballo exclusivamente a ese lugar. É posible utilizar como alternativa calquera outro teléfono pero debe ser consciente de que, nese caso, estaría proporcionando á Universidade ese número de teléfono, o que non sucede utilizando MS Authenticator. Se vostede está preocupado pola súa privacidade, con MS Authenticator instalado no seu móbil, aínda que sexa o privado persoal, a Universidade non coñecerá o número.

Tamén é imprescindible que consigne máis dun mecanismo de segundo factor. Se non ten máis que o Authenticator e olvida o móbil ou non ten batería ou cobertura, non poderá iniciar sesión.

A instalación de MS Authenticator realízase desde as tendas de aplicacións de Android ou Apple. Xuntamos as instrucións a continuación, pero teña en conta que:

Moitas aplicacións levan o nome "Authenticator", pero a que precisamos é a de Microsoft. Microsoft Authenticator ou MS Authenticator son as palabras de busca axeitadas. Para evitar erros, utilice os códigos QR de acceso directo que incluímos nas instrucións de instalación ao final deste apartado.
A aplicación é gratuíta. Ignore calquera posible referencia a un medio de pago. Se se reiteran as mencións a custos, entón non está a instalar a de Microsoft.
Ten á súa disposición a axuda do CAU para proceder á instalación. Debido ao elevado número de persoas que poden estar simultaneamente tentando instalala, pregamos que sexa paciente se experimenta demoras na atención.

As instrucións detalladas para instalar MS Authenticator están dispoñibles na seguinte ligazón, pero non debe engadir a súa conta da USC na aplicación neste paso; deberá facelo no paso 2, cando configure os mecanismos para o segundo factor; polo tanto, este paso número 1 rematará en canto MS Authenticator quede instalado:

InstruciónsInstalaciónMSAuthenticator2023

A configuración vaise realizar no seu perfil de Microsoft 365. Alí definiremos as condicións para inicio de sesión, establecendo o mecanismo de segundo factor principal e os alternativos. Teña en conta que o primeiro factor de autenticación segue a ser a dupla usuario-contrasinal. Esta sección ten como obxectivo configurar o segundo factor.

Recomendamos encarecidamente que estableza un segundo factor principal (MS Authenticator) e, polo menos, outro alternativo. As experiencias das implantacións previas indican que as persoas que só inclúen un único segundo factor vense afectadas polas incidencias á hora de utilizalo, como por exemplo, esquecer o teléfono móbil, ou estar fóra do despacho habitual. Neses casos, se non existe método alternativo, non poderá traballar.

Tamén facemos fincapé en que, se vostede cambia de móbil, non desbote o aparello antigo antes de ter operativo o novo. Deberá iniciar o proceso de instalación do Authenticator no terminal novo e configurar o segundo factor para el. Atopará instrucións máis detalladas no apartado "Día a día", no bloque de destacados.

Igualmente, se cambia de extensión telefónica ou de número de teléfono alternativo, debe entrar de novo na configuración e cambiar os números afectados.

Lembre que pode contactar co CAU da Universidade polos medios habituais para recibir asistencia e configurar os mecanismos principal e alternativo aplicables ao segundo factor. Lembre tamén que nalgúns momentos poden producirse demoras na atención por acumulación de chamadas; sexa paciente se é así.

Instrucións para utilizar MS Authenticator como segundo factor principal e a extensión fixa do despacho como alternativo

A entrada en vigor da exixencia do dobre factor non é automática. Debe facerse desde a área TIC.

Entre, por favor, na páxina de comunicación de incidencias ao CAU: https://www3.usc.es/uscincidencias

Identifíquese coas súas credenciais, se así o solicita o sistema.

Prema en "Notificar incidencia", botón situado na parte superior dereita da pantalla.

Elixa "Activar dobre factor" como tipo de incidencia e consigne calquera texto na descrición que faga referencia a que solicita a devandita activación; por exemplo: "Solicito a activación da autenticación de dobre factor".

Autenticación de dobre factor

InstruciónsInstalaciónMSAuthenticator2023

Instrucións para utilizar MS Authenticator como segundo factor principal e a extensión fixa do despacho como alternativo

Guía rápida en tres pasos

Paso 1: Aplicación de autenticación

Paso 2: Configuración segundo factor

Con Authenticator.

Paso 3: Activación

Como abordar o día a día

O día a día