Implementar factor de doble autenticación para el login de usuarios

[pavel-kalmykov]

Descripción

Para disponer de un añadido de seguridad de que, incluso si un atacante obtuviera nuestras credenciales, no pueda iniciar sesión con total facilidad, queremos implementar un factor de doble autenticación para el usuario para que en el login proporcione, además de sus credenciales, un código de seguridad único que le será enviado a su correo electrónico para comprobar que el inicio de sesión sea legítimo.

Podemos abordar esta implementación de dos formas: buscar una librería que implemente algún algoritmo estándar de factor de doble autenticación o bien que este código sea un simple número de seis dígitos generado aleatoriamente. En cualquier caso, lo más seguro es que necesitemos que dicho código generado, además de enviarlo al correo electrónico, se tenga que almacenar en la base de datos para asociarse al usuario para el cual se ha generado el mismo.

También necesitaremos proporcionar un sistema de detección de intentos (tanto exitosos como fallidos) de inicio de sesión. De esta forma, antes de iniciar sesión, comprobaremos que, si han habido n intentos de sesión fallidos en los últimos m minutos, el usuario no podrá iniciar sesión, ni aunque disponga de los credenciales válidos hasta pasados dichos minutos, por ejemplo.

Condiciones de satisfacción

• [x] Ahora, en la entidad de usuario, el nombre de usuario deja de existir a favor de su correo electrónico. Deberemos de realizar una migración en la que se cambie el nombre de la columna y en el proceso de registro comprobar mediante una expresión regular que dicho campo en la entidad recibida sea verdaderamente un correo electrónico.
• [x] En las credenciales, se añadirá un nuevo campo, TwoFactorAuth, que representará el código del factor de doble autenticación. Deberemos de añadir también dicho campo a la tabla de usuarios mediante una migración.
• [x] Deberá existir un endpoint que, recibiendo los credenciales, si estos son correctos, genere un nuevo código (bien usando la librería, bien siendo un número aleatorio) y lo envíe por correo electrónico al usuario e indicar al usuario que podrá iniciar sesión y obtener el token JWT una vez proporcione el código enviado. Si fuera posible aprovechar el endpoint del login actual, en donde se comprobaría si las credenciales vienen con código o no y se realizaría una acción u otra, sería la mejor solución.
• [x] En el cliente, una vez leídas las credenciales por teclado, pediremos generar el código y enviarlo por correo para después escribirlo por teclado y finalmente realizar el login.
• ~~Deberemos de implementar el control de intentos de inicio de sesión tal y como se ha especificado anteriormente. Los valores ny m podrán ser configurables. Si la librería encontrada permitiera realizar esto por sí misma, podríamos aprovecharlo; si no, deberemos de modificar el esquema para añadir las tablas y campos necesarios para poder trabajar con dichos datos, así como implementar los DAO, servicios y modificar los controladores pertinentes.~~ ver https://github.com/paveltrufi/mantecabox/issues/16#issuecomment-392334018

Referencias

• Librería de Google Authenticator
• Librería de Two Factor Authentication
• Librería para enviar correos electrónicos

[pavel-kalmykov]

Desarrollando en two-factor-auth

[pavel-kalmykov]

Ahora, para validar el correo usamos la librería checkmail (sólo validando el formato, ya que comprobar si el correo existe tarda mucho).

[pavel-kalmykov]

Finalmente vamos a utilizar una implementación propia para una mayor simplicidad de implementación.

[pavel-kalmykov]

Finalmente hemos logrado resolver el problema de los nulls en SQL y JSON con la librería null

[pavel-kalmykov]

Es preferible usar un endpoint distinto para la generación del código de verificación y su envío por correo para no mezclarlo con la lógica de negocio propia del login.

[pavel-kalmykov]

La parte de control de inicios de sesión, en realidad, aunque esté relacionada con el factor de doble autenticación, es un concepto diferente y totalmente autónomo a este.

Realizaremos la implementación de esa funcionalidad de seguridad en una issue futura.

[pavel-kalmykov]

En las nuevas funcionaliades añadidas existen algunos valores que deberían de estar parametrizados, pero eso se realizará en #17