La llave de seguridad FIDO es un dispositivo de autenticación multifactor (MFA) que proporciona una capa adicional de seguridad para proteger tus recursos en línea. Este dispositivo se conecta a través de un puerto USB de tu ordenador y se activa siguiendo las instrucciones específicas. Una vez habilitada, la llave de seguridad FIDO se utiliza para completar de manera segura el proceso de inicio de sesión cuando se solicita. Si ya utilizas una llave de seguridad FIDO con otros servicios y es compatible con AWS (por ejemplo, YubiKey 5 Series de Yubico), también puedes utilizarla con AWS. En caso contrario, deberás adquirir una llave de seguridad FIDO si deseas utilizar la autenticación multifactor WebAuthn en AWS.
- ¿Qué es FIDO2?
- Registro de múltiples dispositivos MFA
- Permisos necesarios para administrar una llave de seguridad FIDO
- Habilitación de una llave de seguridad FIDO para tu propio usuario de IAM
- Habilitación de una llave de seguridad FIDO para otro usuario de IAM
- Reemplazo de una llave de seguridad FIDO
¿Qué es FIDO2?
FIDO2 es un estándar de autenticación abierto que se basa en FIDO U2F y ofrece un alto nivel de seguridad mediante el uso de criptografía de clave pública. FIDO2 está compuesto por la especificación de autenticación web del W3C (WebAuthn API) y el Protocolo de cliente a autenticador (CTAP) de FIDO Alliance, que es un protocolo de capa de aplicación. El CTAP permite la comunicación entre el cliente o la plataforma, como un navegador o un sistema operativo, y un autenticador externo. Cuando habilitas un autenticador certificado FIDO en AWS, la llave de seguridad FIDO crea un nuevo par de claves que se utiliza exclusivamente con AWS. Al ingresar tus credenciales, la llave de seguridad FIDO responde al desafío de autenticación emitido por AWS. FIDO2 Project es una excelente fuente para obtener más información sobre este estándar.
Registro de múltiples dispositivos MFA
Puedes registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con tu usuario raíz de la Cuenta de AWS y los usuarios de IAM. Al tener varios dispositivos MFA, solo necesitarás uno para iniciar sesión en la AWS Management Console o para crear una sesión a través de AWS CLI. Se recomienda registrar varios dispositivos MFA para mayor seguridad. Por ejemplo, puedes registrar un autenticador integrado y una llave de seguridad que mantengas en un lugar seguro. Si no puedes utilizar el autenticador integrado, siempre podrás utilizar tu llave de seguridad registrada. Además, para las aplicaciones de autenticación, se recomienda activar la copia de seguridad en la nube o la función de sincronización en esas aplicaciones para evitar perder el acceso a tu cuenta en caso de pérdida o rotura del dispositivo que contiene las aplicaciones de autenticación.
Permisos necesarios para administrar una llave de seguridad FIDO
Para administrar una llave de seguridad FIDO para tu propio usuario de IAM mientras proteges las acciones confidenciales relacionadas con MFA, debes tener los siguientes permisos en tu política:
- iam:DeactivateMFADevice
- iam:EnableMFADevice
- iam:GetUser
- iam:ListMFADevices
- iam:ResyncMFADevice
Estos permisos te permitirán desactivar y activar una llave de seguridad FIDO, obtener información del usuario, listar los dispositivos MFA y resincronizar un dispositivo MFA.
Habilitación de una llave de seguridad FIDO para tu propio usuario de IAM
El proceso de habilitación de una llave de seguridad FIDO para tu propio usuario de IAM se realiza únicamente a través de la AWS Management Console y no por medio de AWS CLI o la API de AWS. Sigue estos pasos:
- Inicia sesión en la AWS Management Console y abre la consola de IAM.
- En el panel de navegación, selecciona usuarios .
- Elige tu nombre de usuario y selecciona credenciales de seguridad .
- En la pestaña autenticación multifactor (mfa), selecciona asignar dispositivo mfa .
- En el asistente, escribe un nombre para el dispositivo, selecciona clave de seguridad y haz clic en siguiente .
- Inserta la llave de seguridad FIDO en el puerto USB de tu ordenador y pulsa la llave.
¡Listo! Ahora tu llave de seguridad FIDO está habilitada para utilizarse con AWS. Para más información sobre cómo utilizar dispositivos MFA con la AWS Management Console, consulta la documentación oficial.
Habilitación de una llave de seguridad FIDO para otro usuario de IAM
Si deseas habilitar una llave de seguridad FIDO para otro usuario de IAM, sigue estos pasos:
- Inicia sesión en la AWS Management Console y abre la consola de IAM.
- En el panel de navegación, selecciona usuarios .
- Elige el nombre del usuario para el que deseas habilitar la MFA.
- Selecciona la pestaña credenciales de seguridad .
- En autenticación multifactor (mfa), selecciona asignar dispositivo mfa .
- En el asistente, escribe un nombre para el dispositivo, selecciona clave de seguridad y haz clic en siguiente .
- Inserta la llave de seguridad FIDO en el puerto USB de tu ordenador y pulsa la llave.
¡Excelente! Ahora la llave de seguridad FIDO está habilitada para el usuario seleccionado. Recuerda que puedes tener hasta ocho dispositivos MFA registrados para cada usuario.
Reemplazo de una llave de seguridad FIDO
Si pierdes tu llave de seguridad FIDO o necesitas reemplazarla por cualquier motivo, primero debes desactivar la llave antigua antes de agregar una nueva. Para desactivar el dispositivo MFA asociado a otro usuario de IAM, consulta las instrucciones de desactivación de dispositivos MFA en la documentación oficial de AWS. Una vez desactivada, podrás habilitar una nueva llave de seguridad FIDO para el usuario.
Si no tienes acceso a una nueva llave de seguridad FIDO, puedes habilitar un nuevo dispositivo MFA virtual o utilizar un token TOTP de hardware. Consulta las opciones disponibles en la documentación oficial para obtener instrucciones detalladas.
La llave de seguridad FIDO ofrece una forma segura y eficiente de proteger tus recursos en línea mediante la autenticación multifactor. Siguiendo los pasos de habilitación y registro adecuados, puedes agregar esta capa adicional de seguridad a tu cuenta de AWS. Recuerda siempre mantener tus dispositivos MFA actualizados y protegidos para garantizar la seguridad de tus recursos en línea.
Si quieres conocer otros artículos parecidos a Llave de seguridad fido: protege tus recursos con autenticación multifactor puedes visitar la categoría Seguridad.