Aplicación móvil
Esto ocurre si el usuario se configura para utilizar solo la OTP y/o Push y el cliente RADIUS se configura para utilizar la autenticación Mobile Application OTPs y/o Mobile Application Push.
El usuario inicia la sesión con una OTP generada por la Mobile Application mediante la aprobación de una notificación push generada en su dispositivo móvil Android/iOS o reloj Android/Apple. Tenga en cuenta que la aplicación del PIN es muy recomendable en esta configuración para proporcionar un segundo factor de autenticación.
Protegido con PIN Mobile Application Si Mobile Application tiene activada la protección PIN, permitirá al usuario iniciar sesión con un código PIN incorrecto para proteger el código PIN correcto de ataques por fuerza bruta. Por ejemplo, si un atacante intenta iniciar sesión en Mobile Application con un código PIN incorrecto, puede que se les conceda acceso, pero no funcionará ningún OTP. Tras ingresar varios OTP incorrectos, la 2FA de la cuenta de usuario (a la que pertenece Mobile Application) se bloqueará automáticamente. Esto representa un problema menor para un usuario general: si el usuario inicia sesión en Mobile Application con un código PIN incorrecto, y luego cambia el código PIN por uno nuevo, todos los tokens incluidos en Mobile Application pasarán a ser inutilizables. No hay forma de reparar estos tokens: la única solución es volver a aprovisionar tokens a la Mobile Application. Por ello, recomendamos a los usuarios que prueben con un OTP antes de cambiar su código PIN. Si el OTP funciona, es seguro cambiar el código PIN. |
Protocolos PPTP compatibles: PAP, MSCHAPv2.
Compound Authentication Enforced
Esto ocurre si el cliente RADIUS se configura para utilizar la Compound Authentication. Este método de autenticación está restringido a los usuarios que están configurados para utilizar Mobile Application OTPs.
En este caso, un usuario se conecta a la VPN al ingresar su contraseña de Active Directory (AD), además de una OTP generada por la Mobile Application. Por ejemplo, si la contraseña AD es 'password' y la OTP es '123456', el usuario ingresa 'password123456' en el campo de la contraseña de su cliente VPN.
OTP y espacio en blanco Las OTP se muestran en la aplicación móvil con un espacio entre el tercer y el cuarto dígito para mejorar la legibilidad. Todos los métodos de autenticación, a excepción de MS-CHAPv2, eliminan el espacio en blanco de las credenciales proporcionadas, por lo que un usuario puede incluir o excluir espacios en blanco sin que ello afecte a la autenticación. |