{"id":10748,"date":"2021-02-23T01:45:12","date_gmt":"2021-02-23T09:45:12","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=10748"},"modified":"2025-06-13T19:27:57","modified_gmt":"2025-06-14T02:27:57","slug":"multi-factor-authentication-mfa-2fa","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/es\/multi-factor-authentication-mfa-2fa\/","title":{"rendered":"Profundizaci\u00f3n en la autenticaci\u00f3n multifactor"},"content":{"rendered":"<p><span style=\"font-weight: 400\">En este art\u00edculo explicar\u00e9 qu\u00e9 es la autenticaci\u00f3n multifactor, por qu\u00e9 deber\u00edas usarla y c\u00f3mo implementarla f\u00e1cilmente con Couchbase Server.  Veremos el uso de implementaciones tanto de software como de hardware, que ofrecen un compromiso entre coste, comodidad y seguridad.<\/span><\/p>\n<h2><span style=\"font-weight: 400\">\u00bfQu\u00e9 es el<br \/>\nAutenticaci\u00f3n multifactor ?\u00a0<\/span><\/h2>\n<p><span style=\"font-weight: 400\">La autenticaci\u00f3n en un cluster de Couchbase se asegura con una combinaci\u00f3n de contrase\u00f1as de usuario, Control de Acceso Basado en Roles (RBAC) y, opcionalmente, certificados x.509.  Las contrase\u00f1as han existido durante mucho tiempo y han servido bien a su prop\u00f3sito, pero su uso por s\u00ed solo te deja abierto a diversas t\u00e9cnicas de hacking.  La buena noticia es que las contrase\u00f1as pueden complementarse con informaci\u00f3n adicional sobre el usuario para aumentar el nivel de seguridad en lo que se conoce como autenticaci\u00f3n multifactor (AMF).  A veces tambi\u00e9n se la conoce como autenticaci\u00f3n de segundo factor (2FA), aunque en realidad 2FA es s\u00f3lo un subconjunto de las capacidades m\u00e1s amplias de MFA, que puede combinar no s\u00f3lo dos factores, sino muchas formas variadas.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Los fundamentos de la autenticaci\u00f3n multifactor consisten en autenticar a un usuario validando dos o m\u00e1s declaraciones presentadas por el usuario, cada una de una categor\u00eda diferente de factores. Veamos un ejemplo que lleva a\u00f1os utilizando y del que probablemente nunca se haya dado cuenta: utilizar un cajero autom\u00e1tico para sacar dinero.\u00a0 <\/span><\/p>\n<div id=\"attachment_10751\" style=\"width: 460px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10751\" class=\"wp-image-10751 size-medium\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-300x225.png\" alt=\"MFA Factors\" width=\"450\" height=\"350\" \/><\/a><p id=\"caption-attachment-10751\" class=\"wp-caption-text\">Autenticaci\u00f3n multifactor ATM<\/p><\/div>\n<p><span style=\"font-weight: 400\"> Su banco le pedir\u00e1 que introduzca en el cajero su tarjeta bancaria con chip inteligente y un c\u00f3digo PIN.  Se le grabar\u00e1 en v\u00eddeo, que podr\u00e1 utilizarse para el reconocimiento facial, y se le impondr\u00e1n l\u00edmites a la cantidad que puede retirar al d\u00eda.  El banco tambi\u00e9n utilizar\u00e1 algoritmos de detecci\u00f3n de fraudes que bloquear\u00e1n tu transacci\u00f3n si te encuentras en un lugar f\u00edsicamente distinto a donde se registr\u00f3 tu \u00faltima transacci\u00f3n, si no es factible recorrer esa distancia en el periodo de tiempo intermedio.  Si la transacci\u00f3n procede de un lugar muy sospechoso, donde usted no se encuentra normalmente, es posible que incluso reciba una llamada telef\u00f3nica del banco para confirmarla.  Repasemos los distintos factores de autenticaci\u00f3n disponibles.<\/span><\/p>\n<table>\n<tbody>\n<tr>\n<td><span style=\"font-weight: 400\">Algo que sabes<\/span><span style=\"font-weight: 400\"><br \/>\n<\/span><span style=\"font-weight: 400\">(Factores de conocimiento)<\/span><\/td>\n<td>\n<ul>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">Clavija ATM<\/span><\/li>\n<li><span style=\"font-weight: 400\">Contrase\u00f1a<\/span><\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400\">Algo que has<\/span><span style=\"font-weight: 400\"><br \/>\n<\/span><span style=\"font-weight: 400\">(Factores de posesi\u00f3n)<\/span><\/td>\n<td>\n<ul>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">Tarjeta bancaria EMV con chip<\/span><\/li>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">Notificaci\u00f3n push por tel\u00e9fono m\u00f3vil<\/span><\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400\">Algo que eres<\/span><span style=\"font-weight: 400\"><br \/>\n<\/span><span style=\"font-weight: 400\">(Factores de adherencia)<\/span><\/td>\n<td>\n<ul>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">Identificaci\u00f3n facial<\/span><\/li>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">Huella dactilar<\/span><\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400\">En alg\u00fan lugar est\u00e1s<\/span><span style=\"font-weight: 400\"><br \/>\n<\/span><span style=\"font-weight: 400\">(Factores de localizaci\u00f3n)<\/span><\/td>\n<td>\n<ul>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">Localizaci\u00f3n GPS<\/span><\/li>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">Direcci\u00f3n IP<\/span><\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400\">Cuando act\u00faas<\/span><span style=\"font-weight: 400\"><br \/>\n<\/span><span style=\"font-weight: 400\">(Factores temporales)<\/span><\/td>\n<td>\n<ul>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">L\u00edmites de retirada diaria en cajeros autom\u00e1ticos<\/span><\/li>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\">C\u00f3digos de acceso temporales que caducan autom\u00e1ticamente<\/span><\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><span style=\"font-weight: 400\">\u00bfPor qu\u00e9 es importante el AMF?\u00a0<\/span><\/h2>\n<p><span style=\"font-weight: 400\">La autenticaci\u00f3n multifactor (MFA) es importante para evitar que se acceda a su informaci\u00f3n confidencial, lo que podr\u00eda provocar el robo de secretos comerciales, interrupciones del servicio, p\u00e9rdida de ingresos y la p\u00e9rdida de confianza de sus clientes, lo que podr\u00eda acarrear multas y sanciones.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Este mayor nivel de seguridad es necesario para muchas normas de seguridad reconocidas, como la PCI-DSS del sector de las tarjetas de pago y la NIST 800-171, que se utiliza para proteger la Informaci\u00f3n No Clasificada Controlada (CUI) en los contratistas de defensa del gobierno de EE.UU..  En realidad, la AMF es m\u00e1s importante que la seguridad de la contrase\u00f1a a la hora de proteger la cuenta. <\/span><a href=\"https:\/\/techcommunity.microsoft.com\/t5\/azure-active-directory-identity\/your-pa-word-doesn-t-matter\/ba-p\/731984\"><span style=\"font-weight: 400\">Investigadores de Microsoft<\/span><\/a><span style=\"font-weight: 400\">\u00a0 han informado de que una cuenta s\u00f3lo tiene un 0,01% m\u00e1s de probabilidades de verse comprometida si utiliza MFA que si s\u00f3lo utiliza una contrase\u00f1a.<\/span><\/p>\n<h2><span style=\"font-weight: 400\">\u00bfC\u00f3mo proporciona la AMF seguridad adicional?\u00a0<\/span><\/h2>\n<p><span style=\"font-weight: 400\">La autenticaci\u00f3n multifactor (MFA) crea algunos bloqueos adicionales para los hackers cuando intentan infiltrarse en tu cuenta. El mero hecho de crear bloqueos har\u00e1 que un hacker pase a la siguiente cuenta, a menos que usted sea un objetivo de gran valor. A veces una organizaci\u00f3n requerir\u00e1 MFA s\u00f3lo para actividades de alto riesgo, teniendo en cuenta un equilibrio entre riesgo y conveniencia. Por ejemplo, un banco puede permitir a un cliente iniciar sesi\u00f3n en su aplicaci\u00f3n de banca en l\u00ednea utilizando un nombre de usuario y una contrase\u00f1a, pero exigirle que utilice una autenticaci\u00f3n biom\u00e9trica, como una huella dactilar, para autenticarse adicionalmente cada vez que intente transferir dinero.   Veamos algunos ataques comunes y c\u00f3mo los previene la AMF.\u00a0<\/span><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\"><a href=\"https:\/\/en.wikipedia.org\/wiki\/Credential_stuffing\">Relleno de credenciales<\/a> - el ataque en l\u00ednea m\u00e1s com\u00fan que utilizan los hackers es reutilizar nombres de usuario y contrase\u00f1as filtrados en ataques anteriores, que los delincuentes intercambian f\u00e1cilmente en l\u00ednea. Lo que buscan es ver si has utilizado la misma combinaci\u00f3n de nombre de usuario y contrase\u00f1a en varios sistemas.  Los sistemas MFA protegen contra esto, ya que los otros factores no suelen ser est\u00e1ticos y una contrase\u00f1a filtrada por s\u00ed sola no es suficiente para acceder a tu cuenta.<\/span><\/li>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\"><a href=\"https:\/\/en.wikipedia.org\/wiki\/Internet_leak\">Fuga de contrase\u00f1as<\/a> - Imagina que est\u00e1s a punto de iniciar sesi\u00f3n en tu consola de administrador de Couchbase y escribes tu contrase\u00f1a, a continuaci\u00f3n, pulsa retorno.  S\u00f3lo entonces te das cuenta de que accidentalmente acabas de escribir eso en tu ventana de Slack y has proporcionado tu contrase\u00f1a a una sala p\u00fablica llena de gente.  Con MFA, sigues estando seguro ya que la contrase\u00f1a por s\u00ed sola no es suficiente para comprometer tu cuenta.<\/span><\/li>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\"><a href=\"https:\/\/en.wikipedia.org\/wiki\/Malware\">Malware<\/a> \/ <a href=\"https:\/\/en.wikipedia.org\/wiki\/Keystroke_logging\">Registro de pulsaciones<\/a> - un atacante que haya conseguido cargar software malicioso en tu sistema puede monitorizar tus pulsaciones y robar tu contrase\u00f1a, pero sin el MFA, que suele estar en un dispositivo aparte, como un tel\u00e9fono m\u00f3vil.  Este c\u00f3digo cambia constantemente, por lo que no pueden utilizar las credenciales robadas.\u00a0<\/span><\/li>\n<li style=\"font-weight: 400\"><span style=\"font-weight: 400\"><a href=\"https:\/\/en.wikipedia.org\/wiki\/Brute-force_attack\">Fuerza bruta<\/a> - en el que un atacante intentar\u00e1 sistem\u00e1ticamente todas las combinaciones de nombre de usuario y contrase\u00f1a, normalmente bas\u00e1ndose en diccionarios de contrase\u00f1as de uso com\u00fan como primer paso.  El uso de c\u00f3digos de acceso din\u00e1micamente cambiantes y limitados en el tiempo, que puede proporcionar la AMF, hace que este ataque sea exponencialmente m\u00e1s dif\u00edcil, ya que el margen de tiempo para adivinar correctamente tanto la contrase\u00f1a como el c\u00f3digo din\u00e1mico de la AMF es m\u00ednimo.  Adem\u00e1s, los sistemas de detecci\u00f3n de intrusos (IDS) pueden detectar este comportamiento inusual y prevenir este tipo de ataques.<\/span><\/li>\n<\/ul>\n<h2><span style=\"font-weight: 400\">\u00bfCu\u00e1ndo utilizar la AMF?\u00a0<\/span><\/h2>\n<p><span style=\"font-weight: 400\">Los piratas inform\u00e1ticos utilizar\u00e1n toda la informaci\u00f3n que tengan a su alcance para atacar a una v\u00edctima.  Muchas veces se las ingeniar\u00e1n para utilizar esta informaci\u00f3n de formas novedosas en las que nunca habr\u00edas pensado que podr\u00eda suponer un riesgo.<\/span><\/p>\n<p><span style=\"font-weight: 400\">La forma m\u00e1s f\u00e1cil de protegerse es utilizar siempre la MFA cuando se presente como una opci\u00f3n.  Esto fomenta una buena higiene de seguridad y te protege incluso si no crees que una plataforma concreta requiera mayores niveles de seguridad.\u00a0\u00a0<\/span><\/p>\n<h2><span style=\"font-weight: 400\">Implementaci\u00f3n de diferentes tipos de autenticaci\u00f3n multifactor con Couchbase Server<\/span><\/h2>\n<p><span style=\"font-weight: 400\">Los esquemas comunes de MFA vienen en varias formas, cada uno proporcionando niveles variables de seguridad.  Veamos cada m\u00e9todo desde el menos seguro al m\u00e1s seguro.  Y veamos c\u00f3mo podemos implementar algunas de las autenticaciones m\u00e1s seguras con Couchbase Server.<\/span><\/p>\n<p><span style=\"font-weight: 400\">El respetado investigador de seguridad Troy Hunt llama a esta orden la <\/span><a href=\"https:\/\/www.troyhunt.com\/beyond-passwords-2fa-u2f-and-google-advanced-protection\/\"><span style=\"font-weight: 400\">Jerarqu\u00eda de autorizaci\u00f3n<\/span><\/a><span style=\"font-weight: 400\">.<\/span><\/p>\n<table style=\"height: 362px\" width=\"683\">\n<tbody>\n<tr>\n<td><span style=\"font-weight: 400\">Contrase\u00f1a<\/span><\/td>\n<td>Meh<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400\">Contrase\u00f1a + SMS<\/span><\/td>\n<td>Vale<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400\">Contrase\u00f1a + Software Token<\/span><\/td>\n<td>Mejor<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400\">Contrase\u00f1a + Token de hardware<\/span><\/td>\n<td>Genial<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400\">Contrase\u00f1a + segundo factor universal (U2F)<\/span><\/td>\n<td>Uber<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><span style=\"font-weight: 400\">Contrase\u00f1a<\/span><\/h2>\n<p><span style=\"font-weight: 400\">La autenticaci\u00f3n por contrase\u00f1a es la forma m\u00e1s b\u00e1sica de autenticaci\u00f3n y cuando se usa sola es lo que se conoce como autenticaci\u00f3n de Factor \u00danico.  Las contrase\u00f1as son requeridas para cada usuario que crees en Couchbase Server, y pueden ser <a href=\"https:\/\/docs.couchbase.com\/server\/current\/rest-api\/rest-set-password-policy.html\">configurados seg\u00fan pol\u00edticas de contrase\u00f1as espec\u00edficas<\/a>.  El uso de una contrase\u00f1a segura, incluso con MFA en uso, es esencial.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Esta contrase\u00f1a suele ser est\u00e1tica, por lo que si se pierde o te la roban, corres el riesgo de que alguien acceda a tu cuenta y pueda robar tus datos. Puedes utilizar herramientas como <a href=\"https:\/\/www.hashicorp.com\/blog\/announcing-the-couchbase-secrets-engine\">Integraci\u00f3n de Hashicorp Vault con Couchbase<\/a>\u00a0para generar cuentas y contrase\u00f1as temporales que duran poco y se eliminan autom\u00e1ticamente,<\/span><span style=\"font-weight: 400\">\u00a0corren menos riesgo si se exponen accidentalmente. El uso de certificados x.509 para la autenticaci\u00f3n de usuarios es m\u00e1s seguro que las contrase\u00f1as, pero no pueden utilizarse para iniciar sesi\u00f3n en la interfaz de usuario.<\/span><\/p>\n<h2><span style=\"font-weight: 400\">Contrase\u00f1a + SMS<\/span><\/h2>\n<p><span style=\"font-weight: 400\">El nivel m\u00e1s bajo de seguridad MFA consiste en combinar una contrase\u00f1a de inicio de sesi\u00f3n con una contrase\u00f1a \u00fanica de un solo uso (OTP) que llega a tu dispositivo m\u00f3vil a trav\u00e9s de un SMS. Desafortunadamente, hay varios agujeros de seguridad bien conocidos con el uso de la seguridad basada en SMS.  Uno de los riesgos m\u00e1s conocidos y que se menciona con frecuencia en la prensa es la estafa conocida como SIM Swap Scam.  Consiste en que un atacante, normalmente mediante t\u00e9cnicas de ingenier\u00eda social, convence a tu operador de telefon\u00eda m\u00f3vil para que cambie tu n\u00famero de tel\u00e9fono por una nueva tarjeta SIM que \u00e9l controla.  Entonces el atacante recibe cualquier SMS futuro a su dispositivo, incluyendo tus contrase\u00f1as MFA de un solo uso.  Recientemente una banda criminal organizada, <\/span><a href=\"https:\/\/www.europol.europa.eu\/newsroom\/news\/ten-hackers-arrested-for-string-of-sim-swapping-attacks-against-celebrities\"><span style=\"font-weight: 400\">desmantelado por las autoridades<\/span><\/a><span style=\"font-weight: 400\">El fraude de los cibercriminales, por ejemplo, consigui\u00f3 robar m\u00e1s de $100 millones de USD a sus v\u00edctimas.  Tambi\u00e9n existen otros m\u00e9todos para espiar las comunicaciones por tel\u00e9fono m\u00f3vil, como por ejemplo <a href=\"https:\/\/en.wikipedia.org\/wiki\/IMSI-catcher\">Captadores IMSI<\/a> y <a href=\"https:\/\/en.wikipedia.org\/wiki\/Signalling_System_No._7\">Protocolo SS7<\/a> vulnerabilidades de seguridad.<\/span><\/p>\n<div id=\"attachment_10762\" style=\"width: 778px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-CellTower.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10762\" class=\"wp-image-10762 size-medium_large\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-CellTower-768x360.jpg\" alt=\"MFA CellTower\" width=\"768\" height=\"360\" srcset=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-CellTower-768x360.jpg 768w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-CellTower-300x141.jpg 300w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-CellTower-20x9.jpg 20w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-CellTower.jpg 1023w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><p id=\"caption-attachment-10762\" class=\"wp-caption-text\">\"Cell Tower Vultures\" por StephenGA est\u00e1 marcado bajo CC0 1.0.<\/p><\/div>\n<p><span style=\"font-weight: 400\">\u00a0El mayor riesgo con el uso de SMS es si el SMS se utiliza como m\u00e9todo \u00fanico para la recuperaci\u00f3n de la cuenta en caso de p\u00e9rdida de la contrase\u00f1a, en cuyo caso el SMS se convierte en un factor \u00fanico que, por desgracia, no es muy seguro.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Aunque Password + SMS MFA es m\u00e1s seguro que s\u00f3lo una contrase\u00f1a, generalmente deber\u00eda evitarse, por lo que omitiremos la implementaci\u00f3n de este m\u00e9todo.<\/span><\/p>\n<h2><span style=\"font-weight: 400\">Contrase\u00f1a + Software Token<\/span><\/h2>\n<p><span style=\"font-weight: 400\">Utilizar un token de software MFA deber\u00eda ser el objetivo para la mayor\u00eda de los despliegues MFA como punto de partida.  Se trata de una combinaci\u00f3n de una contrase\u00f1a (\"Algo que sabes\") con un token de software (\"Algo que tienes\").  El \u00fanico requisito previo es que cada uno de los usuarios disponga de un tel\u00e9fono inteligente y una aplicaci\u00f3n gratuita como <a href=\"https:\/\/en.wikipedia.org\/wiki\/Google_Authenticator\">Autenticador de Google<\/a> o <a href=\"https:\/\/authy.com\/\">Authy<\/a> para generar un c\u00f3digo de acceso temporal.    Un usuario suele escanear un c\u00f3digo QR en la aplicaci\u00f3n de su tel\u00e9fono m\u00f3vil como actividad \u00fanica al configurar su cuenta.  A continuaci\u00f3n, la aplicaci\u00f3n del tel\u00e9fono m\u00f3vil generar\u00e1 constantemente un nuevo c\u00f3digo que se basa en el tiempo y s\u00f3lo es v\u00e1lido durante un breve periodo de tiempo, como 30 segundos.  Esta AMF se conoce como <span style=\"font-weight: 400\"><a href=\"https:\/\/en.wikipedia.org\/wiki\/Time-based_One-Time_Password\">Contrase\u00f1a de un solo uso basada en el tiempo<\/a><\/span><span style=\"font-weight: 400\"> o TOTP y es lo que <a href=\"https:\/\/www.couchbase.com\/blog\/es\/products\/cloud\/\">Nube Couchbase<\/a> utiliza para la seguridad de la cuenta.  Alternativamente, algunas soluciones no se basan en el tiempo, y utilizan <\/span><span style=\"font-weight: 400\">un contador incremental con un <a href=\"https:\/\/en.wikipedia.org\/wiki\/HMAC-based_One-Time_Password\">Contrase\u00f1a de un solo uso basada en HMAC<\/a> (HOTP).<\/span><\/span><\/p>\n<div id=\"attachment_10761\" style=\"width: 778px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-SmartPhone2.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10761\" class=\"wp-image-10761 size-medium_large\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-SmartPhone2-768x512.jpg\" alt=\"MFA SmartPhone 2\" width=\"768\" height=\"512\" srcset=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SmartPhone2-768x512.jpg 768w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SmartPhone2-300x200.jpg 300w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SmartPhone2-400x267.jpg 400w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SmartPhone2-450x300.jpg 450w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SmartPhone2-20x13.jpg 20w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SmartPhone2.jpg 1024w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><p id=\"caption-attachment-10761\" class=\"wp-caption-text\">\"hands-coffee-smartphone-technology\" por CC\u00d8BAY est\u00e1 marcado bajo CC0 1.0<\/p><\/div>\n<p><span style=\"font-weight: 400\">TOTP es f\u00e1cil de configurar con Couchbase Server usando autenticaci\u00f3n externa.  Usar autenticaci\u00f3n externa significa que podemos configurar nuestro sistema de autenticaci\u00f3n una vez y reutilizarlo en m\u00faltiples clusters de Couchbase.  Usaremos <a href=\"https:\/\/docs.couchbase.com\/server\/current\/manage\/manage-security\/configure-ldap.html\">LDAP<\/a> para que TOTP MFA sea obligatorio adem\u00e1s de que el usuario proporcione su contrase\u00f1a.  Antes de empezar, primero instala la aplicaci\u00f3n m\u00f3vil TOTP MFA de tu elecci\u00f3n en tu smartphone. De nuevo, Google Authenticator y Authy son buenas opciones.<\/span><\/p>\n<p><span style=\"font-weight: 400\">Dar\u00e9 un ejemplo sencillo utilizando un simple servidor de autenticaci\u00f3n LDAP Go-lang (<\/span><a href=\"https:\/\/github.com\/glauth\/glauth\"><span style=\"font-weight: 400\">GLAuth<\/span><\/a><span style=\"font-weight: 400\">).\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Utilizar\u00e9 <a href=\"https:\/\/www.couchbase.com\/blog\/es\/introducing-couchbase-7-beta\/\">Couchbase Server 7.0 Beta<\/a> pero el m\u00e9todo mostrado aqu\u00ed funcionar\u00e1 con cualquier Enterprise Editions de Couchbase 6.5 y posteriores.  El primer paso es descargar el paquete pre-construido desde el sitio web de GLAuth <\/span><a href=\"https:\/\/github.com\/glauth\/glauth\/releases\"><span style=\"font-weight: 400\">P\u00e1gina de versiones de GitHub<\/span><\/a><span style=\"font-weight: 400\">que est\u00e1 disponible en Windows, Linux y MacOS para plataformas x86 y ARM.  Yo utilizar\u00e9 la versi\u00f3n para Mac OS, pero puedes adaptar el nombre del binario a tu plataforma en los comandos de ejemplo.  Descarga tambi\u00e9n el ejemplo <\/span><a href=\"https:\/\/github.com\/glauth\/glauth\/blob\/master\/sample-simple.cfg\"><span style=\"font-weight: 400\">\u00a0archivo de configuraci\u00f3n<\/span><\/a><span style=\"font-weight: 400\">.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">La configuraci\u00f3n LDAP de ejemplo incluye un usuario que est\u00e1 configurado para TOTP llamado otpuser y tiene una contrase\u00f1a de <\/span><b>mi secreto<\/b><span style=\"font-weight: 400\">. Utilizaremos este nombre de usuario y contrase\u00f1a, pero modificaremos el archivo de configuraci\u00f3n de ejemplo para cambiar los dem\u00e1s secretos por nuevos secretos propios.<\/span><\/p>\n<p><span style=\"font-weight: 400\">Primero gener\u00e9 una cadena aleatoria desde el shell de MacOS o Linux, pero puedes utilizar cualquier herramienta que genere una cadena de 32 caracteres base32.  Este ser\u00e1 el <strong>otpsecret<\/strong>.<\/span><br \/>\n<code>$ LC_ALL=C tr -dc 'A-Z2-7' &lt;\/dev\/urandom | head -c 32; echo<br \/>\nRHRHQ7AC2X4UYZ2WQQ4LHZUCGDQXXQTG<\/code><br \/>\n<span style=\"font-weight: 400\">Ahora genera un par m\u00e1s de cadenas aleatorias de 16 caracteres, estas ser\u00e1n usadas como c\u00f3digos de respaldo para iniciar sesi\u00f3n en caso de que el usuario pierda su dispositivo m\u00f3vil o necesite conectarse program\u00e1ticamente a Couchbase Server y evadir la MFA.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Para cada c\u00f3digo de copia de seguridad tambi\u00e9n necesitamos el <a href=\"https:\/\/en.wikipedia.org\/wiki\/SHA-2\">hash sha-256<\/a>,\u00a0<\/span><\/p>\n<pre>$ echo -n \"WBMVOM6F4YAQPDBV\" | openssl dgst -sha256\r\n33e34cbeebce316c6539cd473fb22ea9a69a43059ff18bd801842af1d6c2ea0e\r\n\r\n$ echo -n \"35VD4NGLB3FD6NK5\" | openssl dgst -sha256\r\n38fd1f0065973fdebae168897e7b587e01b8ec3c996bb808b9af89acb1001760<\/pre>\n<p>&nbsp;<\/p>\n<p><span style=\"font-weight: 400\">Modificaremos el archivo de configuraci\u00f3n de ldap para cambiar el par\u00e1metro <strong>otpsecret<\/strong> e incluir estos c\u00f3digos de copia de seguridad SHA256 con una nueva l\u00ednea en la configuraci\u00f3n que comienza con passappsha256.<\/span><\/p>\n<pre class=\"\">[[users]]\r\n \u00a0name = \"otpuser\"\r\n \u00a0unixid = 5004\r\n \u00a0primarygroup = 5501\r\n \u00a0passsha256 = \"652c7dc687d98c9889304ed2e408c74b611e86a40caa51c4b43f1dd5913c5cd0\" # mysecret\r\n \u00a0otpsecret = \"RHRHQ7AC2X4UYZ2WQQ4LHZUCGDQXXQTG\"\r\n \u00a0passappsha256 = [\r\n \u00a0\u00a0\u00a0\"33e34cbeebce316c6539cd473fb22ea9a69a43059ff18bd801842af1d6c2ea0e\", # WBMVOM6F4YAQPDBV\r\n \u00a0\u00a0\u00a0\"38fd1f0065973fdebae168897e7b587e01b8ec3c996bb808b9af89acb1001760\", # 35VD4NGLB3FD6NK5\r\n \u00a0]\r\n\u00a0\u00a0yubikey = \"vvjrcfalhlaa\"<\/pre>\n<p><span style=\"font-weight: 400\">Estas claves de acceso de reserva deben guardarse en un lugar seguro, idealmente fuera de l\u00ednea.\u00a0<\/span><span style=\"font-weight: 400\">Y no querr\u00e1s tener comentarios en texto plano en tu archivo de configuraci\u00f3n que expongan contrase\u00f1as como he mostrado aqu\u00ed para prop\u00f3sitos de demostraci\u00f3n.<\/span><\/p>\n<p><span style=\"font-weight: 400\">Tambi\u00e9n deshabilitar\u00e9 TLS\/SSL para esta demostraci\u00f3n, aunque es recomendable habilitarlo en un entorno de producci\u00f3n.<br \/>\n<\/span><span style=\"font-weight: 400\">Cambia la secci\u00f3n [ldaps] para cambiar enabled a false,\u00a0<\/span><\/p>\n<pre class=\"\">[ldaps]\r\n\u00a0\u00a0enabled = false<\/pre>\n<p><span style=\"font-weight: 400\">A continuaci\u00f3n generaremos un c\u00f3digo QR para nuestra aplicaci\u00f3n de tel\u00e9fono,<br \/>\n<\/span><span style=\"font-weight: 400\">Visite <\/span><a href=\"https:\/\/freeotp.github.io\/qrcode.html\"><span style=\"font-weight: 400\">https:\/\/freeotp.github.io\/qrcode.html<\/span><\/a><span style=\"font-weight: 400\">\u00a0<\/span><\/p>\n<div id=\"attachment_10749\" style=\"width: 910px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-QR.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10749\" class=\"wp-image-10749 size-large\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-QR-1024x782.png\" alt=\"MFA QR Code\" width=\"900\" height=\"687\" srcset=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-QR-1024x782.png 1024w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-QR-300x229.png 300w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-QR-768x586.png 768w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-QR-20x15.png 20w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-QR.png 1226w\" sizes=\"auto, (max-width: 900px) 100vw, 900px\" \/><\/a><p id=\"caption-attachment-10749\" class=\"wp-caption-text\">C\u00f3digo MFA QR de FreeOTP<\/p><\/div>\n<p><span style=\"font-weight: 400\">Cambiar el tipo de <strong>Contador<\/strong> a <strong>Tiempo de espera<\/strong><\/span><span style=\"font-weight: 400\"><br \/>\n<\/span><span style=\"font-weight: 400\">Llamaremos al nombre de la cuenta Couchbase Cluster otpuser<br \/>\n<\/span><span style=\"font-weight: 400\">Y utilizar nuestro <strong>otpsecret<\/strong> para el secreto.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Ahora escaneo este c\u00f3digo QR con la aplicaci\u00f3n de mi tel\u00e9fono m\u00f3vil, y ha empezado a generar contrase\u00f1as temporales.\u00a0<\/span><\/p>\n<div id=\"attachment_10752\" style=\"width: 262px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-TOTP.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10752\" class=\"wp-image-10752 size-medium\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-TOTP-252x300.png\" alt=\"MFA TOTP App\" width=\"252\" height=\"300\" srcset=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-TOTP-252x300.png 252w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-TOTP-300x357.png 300w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-TOTP-17x20.png 17w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-TOTP.png 618w\" sizes=\"auto, (max-width: 252px) 100vw, 252px\" \/><\/a><p id=\"caption-attachment-10752\" class=\"wp-caption-text\">MFA TOTP App Salida<\/p><\/div>\n<p><span style=\"font-weight: 400\">A continuaci\u00f3n, iniciar\u00e9 mi servidor LDAP con el archivo de configuraci\u00f3n.\u00a0<\/span><\/p>\n<pre>.\/glauthOSX -c sample-simple.cfg<\/pre>\n<p><span style=\"font-weight: 400\">Ahora configurar\u00e9 mi Cluster Couchbase para conectarse al Servidor LDAP, bajo la configuraci\u00f3n de seguridad de la UI.\u00a0<\/span><\/p>\n<div id=\"attachment_10753\" style=\"width: 778px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-LDAP-Settings.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10753\" class=\"size-medium_large wp-image-10753\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-LDAP-Settings-768x657.png\" alt=\"MFA LDAP Settings\" width=\"768\" height=\"657\" srcset=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-LDAP-Settings-768x657.png 768w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-LDAP-Settings-300x257.png 300w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-LDAP-Settings-20x17.png 20w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-LDAP-Settings.png 916w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><p id=\"caption-attachment-10753\" class=\"wp-caption-text\">MFA - Configuraci\u00f3n LDAP en Couchbase Server<\/p><\/div>\n<p><span style=\"font-weight: 400\">El Host LDAP es el nombre de host o IP donde se ejecuta el servidor LDAP y el Puerto es 3893.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Configurar\u00e9 mi cl\u00faster para que se conecte al servidor LDAP con credenciales.<\/span><\/p>\n<p><span style=\"font-weight: 400\">Bind DN = cn=serviceuser,ou=svcaccts,dc=glauth,dc=com<br \/>\n<\/span><span style=\"font-weight: 400\">Contrase\u00f1a = mysecret<\/span><\/p>\n<p>Haga clic en \"Comprobar configuraci\u00f3n de red\" para comprobar la conectividad con el servidor LDAP.<\/p>\n<p><span style=\"font-weight: 400\">Ahora habilitar\u00e9 la autenticaci\u00f3n de usuario LDAP y probar\u00e9 mi cuenta otpuser.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">La plantilla es cn=%u,ou=superheros,dc=glauth,dc=com<\/span><\/p>\n<p><span style=\"font-weight: 400\">El nombre de usuario para probar es otpuser<\/span><\/p>\n<p><span style=\"font-weight: 400\">Y la contrase\u00f1a es <strong>mi secreto<\/strong>XXXXXX y donde XXXXXX es el OTP de 6 d\u00edgitos de su aplicaci\u00f3n m\u00f3vil.<\/span><\/p>\n<div id=\"attachment_10754\" style=\"width: 778px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-LDAP-Settings2.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10754\" class=\"wp-image-10754 size-medium_large\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-LDAP-Settings2-768x584.png\" alt=\"Additional MFA LDAP Settings\" width=\"768\" height=\"584\" srcset=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-LDAP-Settings2-768x584.png 768w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-LDAP-Settings2-300x228.png 300w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-LDAP-Settings2-20x15.png 20w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-LDAP-Settings2.png 926w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><p id=\"caption-attachment-10754\" class=\"wp-caption-text\">Configuraci\u00f3n LDAP de MFA Autenticaci\u00f3n de usuario<\/p><\/div>\n<p><span style=\"font-weight: 400\">Si eso funciona y devuelve un resultado positivo cuando lo pruebes, entonces guarda tu configuraci\u00f3n LDAP.  Si necesita m\u00e1s informaci\u00f3n, consulte la documentaci\u00f3n sobre <a href=\"https:\/\/docs.couchbase.com\/server\/current\/manage\/manage-security\/configure-ldap.html#configure-ldap-with-the-ui\">configuraci\u00f3n de LDAP con Couchbase Server<\/a>.   Ahora puedes a\u00f1adir el usuario otpuser a tu Cluster Couchbase como usuario externo y proporcionar al usuario algunas credenciales RBAC.<\/span><\/p>\n<p><span style=\"font-weight: 400\">Enhorabuena, cuando inicie sesi\u00f3n con este usuario, tendr\u00e1 que proporcionar su OTP MFA anexada al final del campo '<strong>mi secreto<\/strong>cada vez.   Tambi\u00e9n puede iniciar sesi\u00f3n con el nombre de usuario otpuser y una de las contrase\u00f1as de seguridad, como WBMVOM6F4YAQPDBV, que omitir\u00e1 el requisito MFA.<\/span><span style=\"font-weight: 400\"><br \/>\n<\/span><span style=\"font-weight: 400\"><br \/>\n<\/span><span style=\"font-weight: 400\">Puedes repetir los pasos para a\u00f1adir varios usuarios m\u00e1s a tu cluster Couchbase.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span style=\"font-weight: 400\">Contrase\u00f1a + Token de hardware<\/span><\/h2>\n<p><span style=\"font-weight: 400\">El siguiente paso en seguridad es utilizar un token de hardware en lugar de un token de software de aplicaci\u00f3n m\u00f3vil.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Por lo general, esta t\u00e9cnica es m\u00e1s segura que un token de software, ya que no est\u00e1 en l\u00ednea y es a\u00fan m\u00e1s dif\u00edcil de adquirir para un pirata inform\u00e1tico.  Otras ventajas de seguridad son que la longitud de la contrase\u00f1a temporal es mayor y que ayuda a evitar algunos errores de configuraci\u00f3n que pueden hacer que los tokens de software sean menos seguros.  Los dispositivos de token de hardware tambi\u00e9n mantienen los secretos criptogr\u00e1ficos subyacentes dentro de su hardware sin interfaces para acceder a ellos directamente, por lo que es extremadamente dif\u00edcil filtrar accidentalmente esta informaci\u00f3n.  El inconveniente es que cada usuario tendr\u00e1 que adquirir un token f\u00edsico para generar sus c\u00f3digos de acceso.<\/span><\/p>\n<p><span style=\"font-weight: 400\">Estas fichas de hardware pueden ser de varios tipos.\u00a0<\/span><\/p>\n<div id=\"attachment_10755\" style=\"width: 778px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-SecurityTokens1.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10755\" class=\"wp-image-10755 size-medium_large\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-SecurityTokens1-768x509.jpg\" alt=\"MFA Security Tokens 1\" width=\"768\" height=\"509\" srcset=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens1-768x509.jpg 768w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens1-300x199.jpg 300w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens1-20x13.jpg 20w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens1.jpg 800w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><p id=\"caption-attachment-10755\" class=\"wp-caption-text\">\"RSA Tokens\" por EdwinMSarmiento est\u00e1 licenciado con CC BY-SA 2.0.<\/p><\/div>\n<div id=\"attachment_10756\" style=\"width: 778px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-SecurityTokens2.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10756\" class=\"size-medium_large wp-image-10756\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-SecurityTokens2-768x523.jpg\" alt=\"MFA Security Tokens 2\" width=\"768\" height=\"523\" srcset=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens2-768x523.jpg 768w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens2-300x204.jpg 300w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens2-235x160.jpg 235w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens2-20x14.jpg 20w, https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-SecurityTokens2.jpg 800w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><p id=\"caption-attachment-10756\" class=\"wp-caption-text\">\"Llaves de seguridad de autenticaci\u00f3n por hardware (Yubico Yubikey 4 y Feitian MultiPass FIDO)\" por Tony Webster est\u00e1 licenciado con CC BY 2.0.<\/p><\/div>\n<p><span style=\"font-weight: 400\">La primera foto muestra dispositivos que tienen una peque\u00f1a pantalla LCD y necesitan una bater\u00eda interna.  El usuario debe introducir en la aplicaci\u00f3n una breve contrase\u00f1a que aparece en la pantalla.  La contrase\u00f1a que aparece en la pantalla cambia constantemente, como en el caso anterior.  La versi\u00f3n m\u00e1s com\u00fan de este tipo de dispositivo es el <a href=\"https:\/\/en.wikipedia.org\/wiki\/RSA_SecurID\">Ficha RSA SecureID<\/a>.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">En la segunda foto se muestran fichas de hardware m\u00e1s recientes que se conectan a una m\u00e1quina host o a un tel\u00e9fono m\u00f3vil a trav\u00e9s de USB, Bluetooth o NFC.  Estos dispositivos act\u00faan como un teclado y env\u00edan directamente la contrase\u00f1a de un solo uso cuando est\u00e1n f\u00edsicamente presentes y se pulsa un bot\u00f3n, pero a menudo no necesitan bater\u00eda interna.  La OTP suele ser una larga cadena de caracteres aleatorios, lo que las hace muy seguras.  La versi\u00f3n m\u00e1s com\u00fan de este tipo de token de hardware es un <a href=\"https:\/\/www.yubico.com\/products\/\">Yubikey<\/a> de Yubico.\u00a0 <\/span><\/p>\n<p><span style=\"font-weight: 400\">Veamos c\u00f3mo utilizar un Yubikey 5 NFC como token de hardware OTP MFA. Actualmente, a partir de febrero de 2021, cuestan alrededor de $45 en los EE.UU., 45 euros en la UE y 45 libras en el Reino Unido cada uno, pero el mismo token se puede utilizar con seguridad para una amplia variedad de aplicaciones.<\/span><\/p>\n<p><span style=\"font-weight: 400\">Usaremos la configuraci\u00f3n anterior de token de software MFA como punto de partida, reutilizando el mismo sistema LDAP y a\u00f1adiendo configuraciones adicionales.  De nuevo, la t\u00e9cnica mostrada aqu\u00ed funcionar\u00e1 con las versiones 6.5.0 y posteriores de Couchbase Server.<\/span><\/p>\n<p><span style=\"font-weight: 400\">El primer paso es ir a\u00a0 <a href=\"https:\/\/upgrade.yubico.com\/getapikey\/\">https:\/\/upgrade.yubico.com\/getapikey\/<\/a>\u00a0 para generar una clave sim\u00e9trica compartida para su uso con los Servicios Web de Yubico.  Esto generar\u00e1 un ID de cliente y una clave secreta que proporcionaremos al servidor LDAP.  El formulario web solicitar\u00e1 una direcci\u00f3n de correo electr\u00f3nico y una OTP.  Simplemente insert\u00e9 mi yubikey en el USB y puls\u00e9 el bot\u00f3n mientras el campo OTP del formulario web ten\u00eda el foco, dejando que el dispositivo actuara como un teclado y escribiera el c\u00f3digo de acceso.  Los primeros 12 caracteres que se generan son el id \u00fanico de tu yubikey, gu\u00e1rdalos as\u00ed como el yubico generado <strong>clientid<\/strong> y <strong>secreto<\/strong> para m\u00e1s tarde.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">A continuaci\u00f3n, modifique el archivo de configuraci\u00f3n LDAP, descomentando las l\u00edneas que empiezan por \"yubikeyclientid\" y \"yubikeysecret\", cambiando los valores por los siguientes <strong>cliente<\/strong> y <strong>secreto<\/strong> proporcionado por Yubico.<\/span><\/p>\n<pre>yubikeyclientid = \"12345\"\r\nyubikeysecret = \"xxxxxxxxxxxxxxxxxxxxxxxxxx\"<\/pre>\n<p><span style=\"font-weight: 400\">A continuaci\u00f3n, a\u00f1ada el identificador \u00fanico de yubikey a la configuraci\u00f3n del otpuser en el fichero de configuraci\u00f3n LDAP.  Recuerde que se trata de los 12 primeros caracteres generados cuando se pulsa el bot\u00f3n yubikey. <\/span><\/p>\n<pre class=\"\">[[users]]\r\n \u00a0name = \"otpuser\"\r\n \u00a0unixid = 5004\r\n \u00a0primarygroup = 5501\r\n \u00a0passsha256 = \"652c7dc687d98c9889304ed2e408c74b611e86a40caa51c4b43f1dd5913c5cd0\" # mysecret\r\n \u00a0otpsecret = \"RHRHQ7AC2X4UYZ2WQQ4LHZUCGDQXXQTG\"\r\n \u00a0passappsha256 = [\r\n\u00a0\u00a0\u00a0\"33e34cbeebce316c6539cd473fb22ea9a69a43059ff18bd801842af1d6c2ea0e\", # WBMVOM6F4YAQPDBV\r\n \u00a0\u00a0\"38fd1f0065973fdebae168897e7b587e01b8ec3c996bb808b9af89acb1001760\", # 35VD4NGLB3FD6NK5\r\n \u00a0]\r\n\u00a0\u00a0yubikey = \"ccccxxxxxxxx\"<\/pre>\n<p><span style=\"font-weight: 400\">Ahora detenga y reinicie el servidor LDAP si ya se estaba ejecutando, de lo contrario, simplemente in\u00edcielo.<\/span><\/p>\n<pre>.\/glauthOSX -c sample-simple.cfg<\/pre>\n<p><span style=\"font-weight: 400\">Ahora puedes iniciar sesi\u00f3n en el cl\u00faster Couchbase como otpuser.  S\u00f3lo tendr\u00e1s que introducir la contrase\u00f1a \"<strong>mi secreto<\/strong>\"Despu\u00e9s, mientras el campo de la contrase\u00f1a sigue activo, pulsa el bot\u00f3n del yubikey con \u00e9ste insertado en la interfaz USB.  El yubikey proporcionar\u00e1 una OTP muy larga y segura a\u00f1adida al final de la contrase\u00f1a \"<strong>mi secreto<\/strong>\".  Una vez que hayas iniciado sesi\u00f3n, podr\u00e1s quitar el yubikey de tu dispositivo.<\/span><\/p>\n<h2><span style=\"font-weight: 400\">Contrase\u00f1a + segundo factor universal (U2F)<\/span><\/h2>\n<p><span style=\"font-weight: 400\">El \u00faltimo y m\u00e1s seguro m\u00e9todo de MFA que veremos es el Segundo Factor Universal, conocido como U2F.  El modelo U2F MFA tiene todos los beneficios del token de hardware del ejemplo anterior, pero una diferencia clave es que tambi\u00e9n est\u00e1 protegido contra el phishing, en el que un atacante te enga\u00f1a para que proporciones la contrase\u00f1a de un solo uso, normalmente creando un sitio web falso que imita al original.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">U2F fue creado como un est\u00e1ndar abierto por Google y Yubico para proporcionar fuertes protecciones contra phishing, secuestro de sesi\u00f3n, man-in-the-middle y ataques de malware.  Lo consigue haciendo que el navegador interact\u00fae directamente con el dispositivo a trav\u00e9s de interfaces USB o NFC en una comunicaci\u00f3n bidireccional cuando se pulsa el bot\u00f3n f\u00edsico de la llave. Esta comunicaci\u00f3n segura utiliza criptograf\u00eda asim\u00e9trica con autenticaci\u00f3n de clave p\u00fablica.  El par de claves creado por el dispositivo U2F durante el registro es espec\u00edfico del origen.  Esto incluye una combinaci\u00f3n de protocolo, nombre de host y puerto en el par de claves. Esto significa que, si un sitio de phishing intenta enga\u00f1arle y no es del mismo origen, la clave U2F detectar\u00e1 al instante la falta de coincidencia y el intento ser\u00e1 frustrado.  El est\u00e1ndar U2F est\u00e1 ahora gestionado por la alianza FIDO.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Veamos c\u00f3mo configurar U2F MFA con Couchbase Server.  Podr\u00edamos configurar esto usando el mismo Yubikey 5 NFC de los ejemplos anteriores, pero esta vez quiero mostrarte que tambi\u00e9n hay opciones m\u00e1s baratas disponibles.  Compr\u00e9 una llave mini USB HyperFIDO PRO U2F por s\u00f3lo 8 libras, aqu\u00ed hay una foto de un dispositivo similar de Key-ID.\u00a0\u00a0\u00a0<\/span><\/p>\n<div id=\"attachment_10757\" style=\"width: 230px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-SecurityTokens3.gif\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10757\" class=\"size-full wp-image-10757\" src=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2021\/02\/MFA-SecurityTokens3.gif\" alt=\"MFA Security Tokens 3\" width=\"220\" height=\"100\" \/><\/a><p id=\"caption-attachment-10757\" class=\"wp-caption-text\">\u00a9 User:Mayopuk \/ Wikimedia Commons \/ CC-BY-SA-3.0<\/p><\/div>\n<p><span style=\"font-weight: 400\">Tambi\u00e9n esta vez, en lugar de usar LDAP, usaremos el m\u00e9todo Linux Pluggable Authentication Module (PAM) para autenticar usuarios externamente, s\u00f3lo para mostrar c\u00f3mo puede funcionar una fuente de autenticaci\u00f3n externa diferente.   Voy a hacer esto con Couchbase Server 7.0 Beta y Ubuntu 18, pero los mismos pasos funcionar\u00e1n en todas las versiones actualmente soportadas de Couchbase Server Enterprise Edition y todas las distribuciones de Linux soportadas.<\/span><\/p>\n<p><span style=\"font-weight: 400\">El primer paso es seguir los pasos de Couchbase Server <a href=\"https:\/\/docs.couchbase.com\/server\/current\/manage\/manage-security\/configure-pam.html\">documentaci\u00f3n sobre la configuraci\u00f3n de un usuario autenticado PAM<\/a>.<\/span><\/p>\n<p><span style=\"font-weight: 400\">Aseg\u00farese de que \/etc\/default\/saslauthd tiene START=yes<\/span><\/p>\n<p><span style=\"font-weight: 400\">Y modifica \/etc\/default\/saslauthd a\u00f1adiendo \" -t 10\" a la cadena de opciones, para a\u00f1adir un tiempo de espera de 10 segundos.\u00a0 <\/span><span style=\"font-weight: 400\">Por ejemplo,\u00a0<\/span><\/p>\n<pre>OPTIONS=\"-c -m \/var\/run\/saslauthd -t 10\"<\/pre>\n<p><span style=\"font-weight: 400\">Aseg\u00farese tambi\u00e9n de que su archivo \/etc\/pam.d\/couchbase tiene el siguiente aspecto<\/span><\/p>\n<pre class=\"\">@include common-auth\r\n@include common-password\r\n#auth\u00a0 \u00a0 required \u00a0 pam_u2f.so authfile=\/etc\/u2f_keys cue<\/pre>\n<p><span style=\"font-weight: 400\">Despu\u00e9s de seguir los pasos para configurar PAM deber\u00edas tener un usuario llamado \"linuxuser\" que est\u00e1 definido en tu sistema operativo y en el cluster de Couchbase Server.  Usando el mismo host en tu cluster donde configuraste PAM, deber\u00edas poder iniciar sesi\u00f3n en la UI del cluster con el nombre de usuario y contrase\u00f1a.<\/span><\/p>\n<p><span style=\"font-weight: 400\">A continuaci\u00f3n instala el m\u00f3dulo U2F PAM, en ubuntu es tan f\u00e1cil como esto:<\/span><\/p>\n<pre>sudo apt-get install libpam-u2f<\/pre>\n<p><span style=\"font-weight: 400\">A continuaci\u00f3n conecta tu dispositivo U2F al USB si no lo est\u00e1 ya.  Y aseg\u00farate de que el sistema que ejecuta Couchbase Server puede verlo a nivel de sistema operativo. En mi caso tengo Couchbase Server ejecut\u00e1ndose en una m\u00e1quina virtual Ubuntu Linux que se ejecuta en mi Mac, as\u00ed que tengo que configurar mi software de virtualizaci\u00f3n para permitir que el dispositivo USB se conecte directamente a la m\u00e1quina virtual.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Ejecutar <strong>lsusb<\/strong> Puedo ver la llave USB U2F desde mi SO Linux.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">A continuaci\u00f3n tenemos que realizar una \u00fanica operaci\u00f3n de registro U2F y almacenar el resultado para que lo utilice el m\u00f3dulo pam.  Vincular\u00e1 el linuxuser a una clave U2F espec\u00edfica y a un nombre de host espec\u00edfico.\u00a0<\/span><br \/>\n<code>sudo pamu2fcfg --username=usuario_linux &gt; \/tmp\/u2f_keys<br \/>\nIntroducir PIN para \/dev\/hidraw1: xxxxxxxx<\/code><br \/>\n<span style=\"font-weight: 400\">En mi dispositivo U2F parpadea la luz hasta que pulso el bot\u00f3n, a<\/span><span style=\"font-weight: 400\">n realidad mi dispositivo tambi\u00e9n requiere un c\u00f3digo PIN, por lo que es otro factor MFA.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">A continuaci\u00f3n, cambie los permisos, la propiedad y la ubicaci\u00f3n del archivo. <\/span><\/p>\n<pre class=\"\">$ chmod 600 \/tmp\/u2f_keys\r\n$ sudo chown root:root \/tmp\/u2f_keys\r\n$ sudo mv \/tmp\/u2f_keys \/etc\/u2f_keys<\/pre>\n<p><span style=\"font-weight: 400\">Ahora descomente la \u00faltima l\u00ednea en el archivo \/etc\/pam.d\/couchbase, s<\/span><span style=\"font-weight: 400\">o se ve as\u00ed.<\/span><\/p>\n<pre class=\"\">@include common-auth\r\n@include common-password\r\nauth\u00a0 \u00a0 required \u00a0 pam_u2f.so authfile=\/etc\/u2f_keys cue<\/pre>\n<p><span style=\"font-weight: 400\">Y reinicia saslauthd\u00a0<\/span><\/p>\n<pre>sudo service saslauthd restart<\/pre>\n<p><span style=\"font-weight: 400\">Ahora, cuando inicies sesi\u00f3n en tu cl\u00faster como la cuenta linuxuser en la UI del cl\u00faster Couchbase, esperar\u00e1 a que se pulse el bot\u00f3n del dispositivo U2F.  El m\u00edo tiene una luz que parpadea para indicar que est\u00e1 activo y esperando.  Despu\u00e9s de pulsarlo, al instante se intercambian y verifican las claves U2F, estoy autenticado y puedo retirar el dispositivo USB.\u00a0<\/span><\/p>\n<h2><span style=\"font-weight: 400\">Bonus: \u00a1Autentificaci\u00f3n sin contrase\u00f1a!\u00a0<\/span><\/h2>\n<p><span style=\"font-weight: 400\">Si quieres probar la autenticaci\u00f3n sin contrase\u00f1a, ahora puedes hacerlo f\u00e1cilmente.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Obviamente esto es menos seguro que usar un U2F + contrase\u00f1a, pero es genial para un cl\u00faster de Couchbase de desarrollo donde no almacenas datos sensibles y se ejecuta localmente o con firewall para permitir que s\u00f3lo tu direcci\u00f3n IP se conecte.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">En su archivo de configuraci\u00f3n pam, del ejemplo anterior, comente las 2 primeras l\u00edneas y deje s\u00f3lo el requisito U2F, para que su configuraci\u00f3n se vea as\u00ed.<\/span><\/p>\n<pre class=\"\">#@include common-auth\r\n#@include common-password\r\nauth\u00a0 \u00a0 required \u00a0 pam_u2f.so authfile=\/etc\/u2f_keys cue<\/pre>\n<p><span style=\"font-weight: 400\">Siguiente reinicio saslauthd\u00a0<\/span><\/p>\n<pre>sudo service saslauthd restart<\/pre>\n<p><span style=\"font-weight: 400\">Ahora puedes iniciar sesi\u00f3n en la UI del Servidor Couchbase con la cuenta linuxuser proporcionando el nombre de usuario, cualquier cadena aleatoria en el campo de contrase\u00f1a, incluso un solo car\u00e1cter.  A continuaci\u00f3n, pulse sobre el bot\u00f3n U2F cuando se le solicite.   \u00a1Autenticaci\u00f3n sin contrase\u00f1a !<\/span><\/p>\n<h2><span style=\"font-weight: 400\">Conclusi\u00f3n<\/span><\/h2>\n<p><span style=\"font-weight: 400\">En este art\u00edculo te he mostrado qu\u00e9 es la Autenticaci\u00f3n Multi-Factor, por qu\u00e9 deber\u00edas usarla y varias formas de implementarla con Couchbase Server.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400\">Si la seguridad es importante para ti, te recomiendo que leas algunas entradas de blog adicionales sobre nuestras diversas caracter\u00edsticas que ayudan a mantener tus datos de Couchbase protegidos.\u00a0<\/span><\/p>\n<ul>\n<li><span style=\"font-weight: 400\"><a href=\"https:\/\/www.couchbase.com\/blog\/es\/at-rest-data-security-with-luks-encryption\/\">Seguridad de datos en reposo con cifrado LUKS<\/a><\/span><\/li>\n<li><a href=\"https:\/\/www.couchbase.com\/blog\/es\/managing-ldap-groups-for-external-users-in-6-5\/\">Gesti\u00f3n de grupos LDAP para usuarios externos en 6.5<\/a><\/li>\n<li><a href=\"https:\/\/www.couchbase.com\/blog\/es\/authentication-authorization-rbac\/\">Autenticaci\u00f3n y autorizaci\u00f3n con RBAC<\/a><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400\">Y tambi\u00e9n compartir\u00e9 contigo algunos de mis sitios favoritos para estar al d\u00eda sobre temas de seguridad en general,\u00a0<\/span><\/p>\n<ul>\n<li><span style=\"font-weight: 400\"><a href=\"https:\/\/www.schneier.com\/\">https:\/\/www.schneier.com\/<\/a><\/span><\/li>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/\">https:\/\/www.bleepingcomputer.com\/<\/a><\/li>\n<li><a href=\"https:\/\/googleprojectzero.blogspot.com\/\">https:\/\/googleprojectzero.blogspot.com\/<\/a><\/li>\n<li><a href=\"https:\/\/krebsonsecurity.com\/\">https:\/\/krebsonsecurity.com\/<\/a><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>In this article I will explain what multi-factor authentication is, why you should be using it and how to easily implement it with Couchbase Server.\u00a0 We\u2019ll look at using both software and hardware implementations, which offer a tradeoff between cost, [&hellip;]<\/p>","protected":false},"author":1864,"featured_media":10763,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[1815,1816,1813],"tags":[1455],"ppma_author":[8928],"class_list":["post-10748","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-best-practices-and-tutorials","category-couchbase-server","category-security","tag-authentication"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v25.8 (Yoast SEO v25.8) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Deep Dive on Multi-Factor Authentication - The Couchbase Blog<\/title>\n<meta name=\"description\" content=\"What is multi-factor authentication ? Why you should be using it and how to easily implement it with Couchbase Server.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.couchbase.com\/blog\/es\/multi-factor-authentication-mfa-2fa\/\" \/>\n<meta property=\"og:locale\" content=\"es_MX\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Deep Dive on Multi-Factor Authentication\" \/>\n<meta property=\"og:description\" content=\"What is multi-factor authentication ? Why you should be using it and how to easily implement it with Couchbase Server.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.couchbase.com\/blog\/es\/multi-factor-authentication-mfa-2fa\/\" \/>\n<meta property=\"og:site_name\" content=\"The Couchbase Blog\" \/>\n<meta property=\"article:published_time\" content=\"2021-02-23T09:45:12+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-06-14T02:27:57+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"800\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Ian McCloy, Director Product Management\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Ian McCloy, Director Product Management\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"20 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/\"},\"author\":{\"name\":\"Ian McCloy, Director Product Management, Couchbase\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/#\/schema\/person\/7e8c834bce5128ad6cd764cd1c4cea19\"},\"headline\":\"Deep Dive on Multi-Factor Authentication\",\"datePublished\":\"2021-02-23T09:45:12+00:00\",\"dateModified\":\"2025-06-14T02:27:57+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/\"},\"wordCount\":3979,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg\",\"keywords\":[\"authentication\"],\"articleSection\":[\"Best Practices and Tutorials\",\"Couchbase Server\",\"Security\"],\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/\",\"url\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/\",\"name\":\"Deep Dive on Multi-Factor Authentication - The Couchbase Blog\",\"isPartOf\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg\",\"datePublished\":\"2021-02-23T09:45:12+00:00\",\"dateModified\":\"2025-06-14T02:27:57+00:00\",\"description\":\"What is multi-factor authentication ? Why you should be using it and how to easily implement it with Couchbase Server.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#primaryimage\",\"url\":\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg\",\"contentUrl\":\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg\",\"width\":1200,\"height\":800,\"caption\":\"\\\"binary damage code\\\" by Markus Spiske, Public Domain Image\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.couchbase.com\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Deep Dive on Multi-Factor Authentication\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/#website\",\"url\":\"https:\/\/www.couchbase.com\/blog\/\",\"name\":\"The Couchbase Blog\",\"description\":\"Couchbase, the NoSQL Database\",\"publisher\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.couchbase.com\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"es\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/#organization\",\"name\":\"The Couchbase Blog\",\"url\":\"https:\/\/www.couchbase.com\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2023\/04\/admin-logo.png\",\"contentUrl\":\"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2023\/04\/admin-logo.png\",\"width\":218,\"height\":34,\"caption\":\"The Couchbase Blog\"},\"image\":{\"@id\":\"https:\/\/www.couchbase.com\/blog\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/#\/schema\/person\/7e8c834bce5128ad6cd764cd1c4cea19\",\"name\":\"Ian McCloy, Director Product Management, Couchbase\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/www.couchbase.com\/blog\/#\/schema\/person\/image\/97dd714a3242521ce9dcea0d96550c5f\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/41f65bee70b5e03e46ae996303a13060d366d405ecb235ff5493d4f1ac3a6f3d?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/41f65bee70b5e03e46ae996303a13060d366d405ecb235ff5493d4f1ac3a6f3d?s=96&d=mm&r=g\",\"caption\":\"Ian McCloy, Director Product Management, Couchbase\"},\"description\":\"Ian McCloy is the Director of the Platform and Security Product Management Group for Couchbase and lives in the United Kingdom. His dedicated team is responsible for the Reliability, Availability, Serviceability and Security architecture of Couchbase Server and the SaaS Database, Capella. This team also own cloud-native platforms like the Couchbase Kubernetes Autonomous Operator. Ian has a vast range of experience as a Software Engineer, Technical Support Engineer, Quality Assurance Engineer and Systems Administrator. Ian has led global technical teams for the majority of his 20 year professional career and holds several patents in the areas of information security, virtualisation and hardware design. https:\/\/www.linkedin.com\/in\/ianmccloy\/\",\"sameAs\":[\"https:\/\/www.linkedin.com\/in\/ianmccloy\/\"],\"url\":\"https:\/\/www.couchbase.com\/blog\/es\/author\/ian-mccloycouchbase-com\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Deep Dive on Multi-Factor Authentication - The Couchbase Blog","description":"What is multi-factor authentication ? Why you should be using it and how to easily implement it with Couchbase Server.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.couchbase.com\/blog\/es\/multi-factor-authentication-mfa-2fa\/","og_locale":"es_MX","og_type":"article","og_title":"Deep Dive on Multi-Factor Authentication","og_description":"What is multi-factor authentication ? Why you should be using it and how to easily implement it with Couchbase Server.","og_url":"https:\/\/www.couchbase.com\/blog\/es\/multi-factor-authentication-mfa-2fa\/","og_site_name":"The Couchbase Blog","article_published_time":"2021-02-23T09:45:12+00:00","article_modified_time":"2025-06-14T02:27:57+00:00","og_image":[{"width":1200,"height":800,"url":"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg","type":"image\/jpeg"}],"author":"Ian McCloy, Director Product Management","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Ian McCloy, Director Product Management","Est. reading time":"20 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#article","isPartOf":{"@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/"},"author":{"name":"Ian McCloy, Director Product Management, Couchbase","@id":"https:\/\/www.couchbase.com\/blog\/#\/schema\/person\/7e8c834bce5128ad6cd764cd1c4cea19"},"headline":"Deep Dive on Multi-Factor Authentication","datePublished":"2021-02-23T09:45:12+00:00","dateModified":"2025-06-14T02:27:57+00:00","mainEntityOfPage":{"@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/"},"wordCount":3979,"commentCount":0,"publisher":{"@id":"https:\/\/www.couchbase.com\/blog\/#organization"},"image":{"@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#primaryimage"},"thumbnailUrl":"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg","keywords":["authentication"],"articleSection":["Best Practices and Tutorials","Couchbase Server","Security"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/","url":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/","name":"Deep Dive on Multi-Factor Authentication - The Couchbase Blog","isPartOf":{"@id":"https:\/\/www.couchbase.com\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#primaryimage"},"image":{"@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#primaryimage"},"thumbnailUrl":"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg","datePublished":"2021-02-23T09:45:12+00:00","dateModified":"2025-06-14T02:27:57+00:00","description":"What is multi-factor authentication ? Why you should be using it and how to easily implement it with Couchbase Server.","breadcrumb":{"@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#primaryimage","url":"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg","contentUrl":"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/sites\/1\/2021\/02\/MFA-BGimage-lg.jpg","width":1200,"height":800,"caption":"\"binary damage code\" by Markus Spiske, Public Domain Image"},{"@type":"BreadcrumbList","@id":"https:\/\/www.couchbase.com\/blog\/multi-factor-authentication-mfa-2fa\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.couchbase.com\/blog\/"},{"@type":"ListItem","position":2,"name":"Deep Dive on Multi-Factor Authentication"}]},{"@type":"WebSite","@id":"https:\/\/www.couchbase.com\/blog\/#website","url":"https:\/\/www.couchbase.com\/blog\/","name":"El blog de Couchbase","description":"Couchbase, la base de datos NoSQL","publisher":{"@id":"https:\/\/www.couchbase.com\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.couchbase.com\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/www.couchbase.com\/blog\/#organization","name":"El blog de Couchbase","url":"https:\/\/www.couchbase.com\/blog\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/www.couchbase.com\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2023\/04\/admin-logo.png","contentUrl":"https:\/\/www.couchbase.com\/blog\/wp-content\/uploads\/2023\/04\/admin-logo.png","width":218,"height":34,"caption":"The Couchbase Blog"},"image":{"@id":"https:\/\/www.couchbase.com\/blog\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.couchbase.com\/blog\/#\/schema\/person\/7e8c834bce5128ad6cd764cd1c4cea19","name":"Ian McCloy, Director de Gesti\u00f3n de Productos, Couchbase","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/www.couchbase.com\/blog\/#\/schema\/person\/image\/97dd714a3242521ce9dcea0d96550c5f","url":"https:\/\/secure.gravatar.com\/avatar\/41f65bee70b5e03e46ae996303a13060d366d405ecb235ff5493d4f1ac3a6f3d?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/41f65bee70b5e03e46ae996303a13060d366d405ecb235ff5493d4f1ac3a6f3d?s=96&d=mm&r=g","caption":"Ian McCloy, Director Product Management, Couchbase"},"description":"Ian McCloy es el Director del Grupo de Gesti\u00f3n de Productos de Plataforma y Seguridad de Couchbase y vive en el Reino Unido. Su equipo dedicado es responsable de la arquitectura de Fiabilidad, Disponibilidad, Capacidad de Servicio y Seguridad de Couchbase Server y la Base de Datos SaaS, Capella. Este equipo tambi\u00e9n es propietario de plataformas nativas de la nube como el Operador Aut\u00f3nomo Couchbase Kubernetes. Ian tiene una amplia experiencia como Ingeniero de Software, Ingeniero de Soporte T\u00e9cnico, Ingeniero de Garant\u00eda de Calidad y Administrador de Sistemas. Ian ha dirigido equipos t\u00e9cnicos globales durante la mayor parte de sus 20 a\u00f1os de carrera profesional y es titular de varias patentes en las \u00e1reas de seguridad de la informaci\u00f3n, virtualizaci\u00f3n y dise\u00f1o de hardware. https:\/\/www.linkedin.com\/in\/ianmccloy\/","sameAs":["https:\/\/www.linkedin.com\/in\/ianmccloy\/"],"url":"https:\/\/www.couchbase.com\/blog\/es\/author\/ian-mccloycouchbase-com\/"}]}},"authors":[{"term_id":8928,"user_id":1864,"is_guest":0,"slug":"ian-mccloycouchbase-com","display_name":"Ian McCloy, Director Product Management","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/41f65bee70b5e03e46ae996303a13060d366d405ecb235ff5493d4f1ac3a6f3d?s=96&d=mm&r=g","author_category":"","last_name":"McCloy, Director Product Management","first_name":"Ian","job_title":"","user_url":"","description":"Ian McCloy es el Director del Grupo de Gesti\u00f3n de Productos de Plataforma y Seguridad de Couchbase y vive en el Reino Unido.  Su equipo dedicado es responsable de la arquitectura de Fiabilidad, Disponibilidad, Capacidad de Servicio y Seguridad de Couchbase Server y la Base de Datos SaaS, Capella.  Este equipo tambi\u00e9n es propietario de plataformas nativas de la nube como el Operador Aut\u00f3nomo Couchbase Kubernetes.  Ian tiene una amplia experiencia como Ingeniero de Software, Ingeniero de Soporte T\u00e9cnico, Ingeniero de Control de Calidad y Administrador de Sistemas. Ian ha dirigido equipos t\u00e9cnicos globales durante la mayor parte de sus 20 a\u00f1os de carrera profesional y es titular de varias patentes en las \u00e1reas de seguridad de la informaci\u00f3n, virtualizaci\u00f3n y dise\u00f1o de hardware. https:\/\/www.linkedin.com\/in\/ianmccloy\/"}],"_links":{"self":[{"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/posts\/10748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/users\/1864"}],"replies":[{"embeddable":true,"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/comments?post=10748"}],"version-history":[{"count":0,"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/posts\/10748\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/media\/10763"}],"wp:attachment":[{"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/media?parent=10748"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/categories?post=10748"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/tags?post=10748"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.couchbase.com\/blog\/es\/wp-json\/wp\/v2\/ppma_author?post=10748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}