Saltar a contenido

Autenticación de dos factores (2FA) para escaneos automatizados

Descripción general

La plataforma es compatible con aplicaciones protegidas por Autenticación de dos factores (2FA).
Los escaneos pueden completar automáticamente los flujos de autenticación que requieren verificación adicional, lo que permite que la evaluación de seguridad continúe sin intervención manual.

Los mecanismos de autenticación compatibles incluyen:

  • Contraseñas de un solo uso (OTP) por SMS
  • Contraseñas de un solo uso basadas en el tiempo (TOTP) generadas por aplicaciones de autenticación
  • Flujos de autenticación sin contraseña (Tokens por correo electrónico)
  • Mecanismos de autenticación basados en el navegador

Esto permite al escáner autenticarse de forma segura y continuar probando las áreas protegidas de su aplicación.

Lo que esto permite

  • Escaneos de seguridad totalmente automatizados, incluso con autenticación de varios pasos
  • Cobertura integral de todo el flujo de inicio de sesión
  • Manejo automático de OTP mediante recuperación de SMS o generación de TOTP en tiempo real
  • Compatibilidad con la mayoría de las implementaciones de 2FA estándar

Métodos 2FA compatibles

1. 2FA por SMS

El 2FA por SMS es un mecanismo de autenticación que protege el acceso a una aplicación al requerir que el usuario ingrese una contraseña de un solo uso (OTP) enviada por mensaje de texto a su número de teléfono registrado.

La plataforma es compatible con la automatización completa de este flujo de autenticación. Permite al escáner de seguridad realizar escaneos autenticados en aplicaciones que requieren verificación por SMS al interceptar, extraer e inyectar automáticamente la OTP, garantizando así una cobertura integral y continua del flujo de inicio de sesión.

Requisitos previos

Antes de configurar el 2FA por SMS en la plataforma, asegúrese de haber completado estos pasos:

  1. Contactar a soporte: Comuníquese con el Soporte de Ostorlab para solicitar su número de teléfono de prueba dedicado.
  2. Configurar cuenta de prueba: Actualice la cuenta de prueba de su aplicación para utilizar este número para el 2FA.
  3. Identificar al remitente: Active una OTP en el número de prueba utilizando su aplicación para identificar el Número de teléfono del remitente oficial (el número específico o código corto desde el cual su aplicación envía los mensajes SMS con la OTP).

Configuración

Una vez que tenga su número de prueba dedicado y haya identificado el número de teléfono del remitente:

  1. Navegar: Vaya a Scan > Test Credentials > New > 2FA SMS.
  2. Etiqueta: Proporcione un nombre descriptivo para esta credencial (por ejemplo, "Production SMS 2FA").
  3. Número de teléfono del remitente: Ingrese el Número de teléfono del remitente que identificó en el paso de requisitos previos (por ejemplo, +15550001111).
  4. Guardar: Haga clic en Add para almacenar las credenciales de forma segura.

Solución de problemas

  • Configuración: Asegúrese de que la cuenta de prueba tenga habilitado el 2FA por SMS.
  • Filtrado: Confirme que las políticas antispam o de limitación de tasa de su aplicación permiten los mensajes entrantes desde la puerta de enlace.
  • ID del remitente: Si el escáner no logra capturar la OTP, verifique que el "Número de teléfono del remitente" coincida exactamente con el número que aparece en el dispositivo al recibir una OTP.
Captura de pantalla: Configuración de 2FA por SMS

2. OTP por correo electrónico

El 2FA por correo electrónico protege el acceso a una aplicación al requerir que el usuario ingrese una contraseña de un solo uso (OTP) enviada a su dirección de correo electrónico registrada.

La plataforma automatiza este flujo supervisando de forma segura un buzón de correo de prueba dedicado, analizando el correo entrante, extrayendo la OTP e inyectándola automáticamente en el formulario de inicio de sesión de la aplicación. Esto garantiza que sus escaneos de seguridad puedan completar el flujo de autenticación sin intervención manual.

Requisitos previos

Antes de configurar el 2FA por correo electrónico, asegúrese de tener:

  1. Buzón dedicado: Una cuenta de prueba configurada específicamente para recibir OTP.
  2. Identificar al remitente: Active una OTP en su cuenta de prueba e identifique el Remitente del correo electrónico oficial (la dirección de correo electrónico específica desde la cual su aplicación envía los mensajes con la OTP).
  3. Contraseña de aplicación: Si su proveedor de correo electrónico (por ejemplo, Gmail) exige el uso de 2FA en la cuenta de correo, debe generar una Contraseña de aplicación. No utilice la contraseña habitual de su cuenta, ya que las configuraciones de seguridad de los proveedores modernos suelen rechazarla.

Configuración

  1. Navegar: Vaya a Scan > Test Credentials > New > 2FA Email.
  2. Etiqueta: Proporcione un nombre descriptivo para esta credencial (por ejemplo, "Production Email 2FA").
  3. Remitente del correo electrónico: Ingrese la dirección del Remitente del correo electrónico que identificó en el paso de requisitos previos (por ejemplo, noreply@yourdomain.com).
  4. Correo electrónico y contraseña: Ingrese la dirección de correo electrónico del buzón de prueba y su correspondiente Contraseña de aplicación.
  5. Guardar: Haga clic en Add para almacenar las credenciales de forma segura.

Solución de problemas

  • Errores de análisis: Si el escáner no logra extraer la OTP, asegúrese de que el cuerpo del correo contenga el código en un formato claro y legible.
  • Conectividad: Verifique que el acceso IMAP/SMTP esté habilitado en la configuración de su buzón y que las credenciales (especialmente la contraseña de aplicación) sean correctas.
  • Bloqueos de seguridad: Asegúrese de que la cuenta de correo no esté protegida por una capa adicional de 2FA que impediría que el escáner inicie sesión en la propia bandeja de entrada.
Captura de pantalla: Configuración de 2FA por correo electrónico

3. TOTP (Aplicaciones de autenticación)

La autenticación basada en TOTP genera códigos de verificación basados en el tiempo que se actualizan cada 30 segundos.

La plataforma admite la automatización completa de TOTP al actuar como un dispositivo autenticador virtual, generando códigos válidos en tiempo real a partir de la clave secreta compartida.

Requisitos previos

  1. Configurar cuenta de prueba: Habilite el 2FA basado en TOTP en su cuenta de prueba.
  2. Asegurar el secreto: Recupere la Clave secreta TOTP (semilla) desde su aplicación de autenticación durante la configuración.

Configuración

  1. Navegar: Vaya a Scan > Test Credentials > New > 2FA TOTP.
  2. Nombre de la credencial: Proporcione un nombre descriptivo para esta credencial.
  3. Secreto TOTP: Pegue la semilla TOTP codificada en Base32 (por ejemplo, JBSWY3DPEHPK3PXP).
  4. Guardar: Haga clic en Add para almacenar las credenciales de forma segura.

Nota de seguridad

Todas las semillas TOTP se cifran en reposo y nunca se exponen en los registros de escaneo ni en los resultados. Esta implementación cumple plenamente con el estándar TOTP RFC 6238.

Captura de pantalla: Configuración de 2FA TOTP

4. 2FA manual

El 2FA manual es ideal para flujos de autenticación propietarios, complejos o heredados que no pueden automatizarse por completo.

Cuando el escáner encuentra un paso de 2FA, se pausa automáticamente y presenta un modal para la entrada manual del código. Una vez enviado, el escaneo se reanuda.

Configuración

  1. Navegar: Vaya a Scan > Test Credentials > New > 2FA Manual.
  2. Nombre de la credencial: Proporcione un nombre descriptivo para esta credencial.
  3. Remitente: Ingrese una etiqueta de referencia (por ejemplo, helpdesk) para identificar el origen de la solicitud manual.
  4. Guardar: Haga clic en Add para almacenar las credenciales.
Captura de pantalla: Configuración de 2FA manual

Consejo operativo

Asegúrese de estar disponible para supervisar el progreso del escaneo, ya que el escáner permanecerá en un estado "pausado" en espera de intervención manual hasta que se proporcione el código.

Ingreso del token

Cuando el escaneo se pause para la intervención manual, siga estos pasos para ingresar el token:

  1. Detalles del escaneo: Haga clic en los detalles del escaneo en curso.

    Captura de pantalla: Configuración de 2FA manual

  2. Seleccionar OTP: Haga clic en la credencial de OTP manual que creó anteriormente.

    Captura de pantalla: Configuración de 2FA manual

  3. Hacer clic en OTP manual: Haga clic en el botón MANUAL OTP.

    Captura de pantalla: Configuración de 2FA manual

  4. Enviar: Ingrese el token recibido (por ejemplo, 751629) y envíelo para reanudar el escaneo.

    Captura de pantalla: Configuración de 2FA manual

Validación de resultados

Una vez completado el escaneo, puede verificar que el escáner navegó con éxito por el flujo de autenticación 2FA al inspeccionar la sección de Call Coverage:

  1. Navegue a la página de Scan Details.
  2. Seleccione la pestaña Call Coverage.
  3. Revise las solicitudes para confirmar que el escáner realizó el inicio de sesión correctamente y superó el paso de 2FA para acceder a las áreas protegidas de la aplicación.