Cómo configurar el 2FA en MyPublicInbox con TOTP, Cloud TOTP o Latch Cloud TOTP

Estoy aprovechando este puente del Día de la Madre (aprovecho para felicitaros a todas las madres hoy), para sacar cosas que tenía pendientes de MyPublicInbox, así que si hace unos días os dejé un artículo que os explicaba Cómo configurar el 2FA en MyPublicInbox con Latch, hoy quiero dejaros la continuación y explicaros “Cómo configurar el 2FA en MyPublicInbox con TOTP, Cloud TOTP o Latch Cloud TOTP”.

Realmente es muy similar, y aunque en el título hable de TOTP, Cloud TOTP y Latch Cloud TOTP, realmente os voy a explicar el proceso una sola vez, que para el caso es lo mismo, y lo puedes hacer, por supuesto, con Latch. Yo sigo recomendándote el uso de Latch al de un TOTP, porque así siempre te enteras de que alguien tiene acceso a tus credenciales, como os expliqué en este artículo de “Google Authenticator no te avisa de que te han robado las passwords“.

Las TOTP son claves que cambian con el tiempo. El servidor y el cliente cuentan con un código que es la semilla de un algoritmo de generación de claves cada cierto tiempo, de tal manera que teniendo los dos la misma semilla, aplican el mismo algoritmo, y cada cierto tiempo generan una nueva clave. Es una solución muy utilizada en los 2FA (Second Factor Authentication/Authorization) desde hace mucho tiempo, como una forma más robusta de limitar el uso de las OTP (One-Time Passwords) que pueden ser utilizadas durante un tiempo indefinido.

Muchas aplicaciones para gestionar los TOTP han guardado esas semillas en el dispositivo, dando mayor control al usuario, pero como contrapartida ha llevado a que muchos usuarios que han perdido sus dispositivos, o se los han robado, o simplemente se les ha roto, se han quedado sin acceso a sus cuentas por nunca jamás (LOCKING).

Esto, en el caso de Google Authenticator – que no era Cloud TOTP antes – fue un drama en muchos casos – os puedo contar innumerables historias -, así que nosotros comenzamos a trabajar en Latch en el concepto de Cloud TOTP, donde lo que hacemos es guardar en tus espacio personal las semillas de los algoritmos TOTP de todos tus 2FA. De esto os hablé en el artículo de “Latch Cloud TOTP vs. Google Authenticator“.

Ahora Google Authenticator ha comenzado a hacer lo mismo, asociando estas semillas a tu cuenta de Google, algo que algunos le han criticado, porque ya en su cuenta de Google están los 1FA (las contraseñas en su Google Password Manager), y añadir los 2FA (las semillas de los TOTP) debilita la seguridad al estar “juntos”. Además que uno de los principales 2FA es precisamente el de la cuenta de Google. Una alternativa, por supuesto, es usar Latch. que solo tienen los 2FA y no los 1FA, que es por lo que nosotros hicimos este servicio en nuestra plataforma.

Explicado la anterior, toca ir al paso a paso de cómo se configurar la protección de TOTP en tu cuenta de MyPublicInbox. De nuevo insisto en que si tienes Autenticación Social en MyPublicInbox con tu cuenta de Google, Apple ID o LinkedIn, entonces tendrías primero el 2FA de cada uno de esos IDP (Identity Providers), más luego la que configures en tu perfil de MyPublicInbox.

Para configurar tu TOTP debes conseguir introducir el código TOTP que se genera con la semilla que está en el QRCode que se te muestra por pantalla. Así que deberás configurar en tu app de 2FA esta semilla.

Ahora debes irte a tu app de gestión de 2FA basado en TOTP, que en nuestro caso es Latch. Puedes descargarla y sacarte una cuenta para guardar todos tus 2FA desde las apps, que tienes aquí:

Una vez tengas Latch, abres la app, seleccionas TOTP, haces clic en la opción de Añadir Cuenta, luego la de Escanear QRCode, y luego lo escaneas con tu cámara.

Lo que sucederá es que automáticamente tendrás un nuevo TOTP en tu app de Latch, donde tendrás la opción de “Ver código“, que deberás introducir en el panel de la Figura 6 anterior, y ya tendrás tu cuenta protegida por un 2FA TOTP en todo momento.

Una vez hecho esto, en cada nuevo inicio de sesión en MyPublicInbox tendrás que vencer al desafío de 2FA con un nuevo código TOTP, y si no lo haces, no podrás iniciar sesión en tu buzón de MyPublicInbox.

Igual que en el caso de Latch, para quitar el 2FA hay que vencer el desafío, así que nadie podría aprovechar un descuido para quitar la protección TOTP de tu cuenta sin tener acceso a tu TOTP, como puedes ver en la imagen.

Supongo que ya todos estáis más que preocupados por vuestra seguridad y que tenéis 2FA en todas vuestras identidades digitales, pero si tienes algunas sin esa protección, hoy es un día más que perfecto para que revises tus cuentas y lo pongas en todas.

¡Saludos Malignos!