La última actualización de 1Password para iOS, incluye para los usuarios de la versión Pro (accesible mediante una compra in-App de 9,99€»), soporte para la generación de TOTP.
TOTP, es el acrónimo de Time-based One Time Passwords, o contraseñas temporales de un solo uso. Es decir, estas contraseñas tienen una vida útil bien de un uso, o de un periodo de tiempo concreto a partir del cual se auto-destruyen.
¿Para qué se utilizan las TOTP?
Estas contraseñas temporales, se utilizan como un 2º paso para autentificarte en un servicio web.
La verificación en dos pasos se basa en que para acceder a un servicio web necesitarás dos tipos de elementos:
- Algo que sólo tú sabes: tu contraseña.
- Algo que sólo tú tienes: tu smartphone.
Actualmente y por norma general, en este último recibirás un SMS con un código adicional (Este código, es una TOTP), que unido a tu contraseña te dará total acceso a la cuenta del servicio que estés intentando acceder.
De esta forma, si alguien consigue una de tus contraseñas (lo que tú sabes), no podrá acceder a una zona privada sin conseguir también el código secundario (el que tú recibes en tu smartphone, que tú tienes)
¿Cómo se generan las TOTP?
Las contraseñas temporales de un solo uso,se generan a partir de (además de más parámetros que ahora no interesa mencionar) una palabra clave adicional o “secreto”.
Cuando eliges la opción de recibir tu TOTP vía SMS, no necesitas saber esta palabra clave adicional, ya que es el servidor del servicio (por ejemplo, Dropbox) se encarga de generarla, y posteriormente enviártela al que has configurado como tu número de teléfono. Así que como ves, en el proceso no hace falta en ningún momento que conozcas dicho “secreto”.
Sin embargo, existe una segunda vía para generar las TOTP, y es utilizando una aplicación en tu Smartphone, en concreto utilizaremos 1Password.
Siendo así, el “secreto” o palabra clave necesaria para generar una TOTP estará:
- En la propia aplicación de 1Password, así que no tienes que recordarla.
- Y en los servidores del servicio donde quieras utilizar la autenticación en dos pasos. Ya que de alguna manera os tendréis que poner “de acuerdo” para saber qué palabra clave vais a utilizar. Normalmente te la requerirán al activar la autenticación en dos pasos.
Nota: en muchas ocasiones podrás sustituir la palabra clave por escanear un código QR que te ofrecerá el servicio. En realidad la finalidad es la misma, ya que el “secreto” está embebido dentro del propio código QR.
Cómo configurar TOTP en servicios web
Este es un paso que no se puede explicar concretamente, ya que no todos los servicios web aceptan esta funcionalidad de seguridad extra, y los que lo hacen tendrán esta opción escondida en un menú diferente.
Puedes ver una lista bastante completa de servicios que utilizan esta verificación en el siguiente link: https://twofactorauth.org/providers/
Por ejemplo en Dropbox, puedes hacerlo desde la sección de seguridad: https://www.dropbox.com/account#security, haciendo click sobre la opción “Habilitar” verificación en dos pasos, y eligiendo la opción aplicación móvil:
Escanear el código QR con 1Password (continúa leyendo para averiguar cómo)
Sigue los pasos que verás en pantalla, y tu verificación en dos pasos quedará correctamente activada.
Cómo configurar las TOTP en 1Password
Desde la versión de 1Password para iOS. Al editar un elemento de tu lista de inicios de sesión (aquel en el que quieres activar la verificación en dos pasos), verás que existe un campo adicional llamado “One-Time Password”
Bien escanees un código QR, o añadas tu propio secreto, a partir de ese momento 1Password comenzará a generar TOTP que se auto-destruirán cada 30 segundos.
La generación mediante aplicación de TOTP en lugar de recibir el código vía SMS es extremadamente útil en situaciones en las que estás de viaje, o sin cobertura móvil.
Recuerda que en la mayoría de los casos no tienes que introducir estos códigos siempre, ya que los propios servicios te permiten seleccionar dispositivos “de confianza” en los que este paso intermedio no será necesario.