Saltar al contenido principal

Códigos de respaldo

Conceptos

Los códigos de respaldo, también conocidos como código de recuperación, son códigos de un solo uso para la autenticación multifactor (MFA), que actúan como respaldo en caso de que los factores de autenticación principales del usuario (por ejemplo, aplicación autenticadora o token de hardware) no estén disponibles.

Perderlos puede generar desafíos para la recuperación de la cuenta. Por lo tanto, se recomienda configurar un factor principal adicional antes de habilitar los códigos de respaldo, dándole prioridad.

Logto genera automáticamente 10 códigos de respaldo para los usuarios una vez que configuran un factor adicional. Cada código es de un solo uso. Se recomienda a los usuarios regenerar un nuevo conjunto de códigos en la Configuración de la cuenta de usuario (accesible a través de la Management API) antes de agotar todos los códigos existentes.

Configurar códigos de respaldo para MFA

  1. Navega a Consola > Autenticación multifactor
  2. Habilita el factor "Códigos de respaldo". Los códigos de respaldo no pueden usarse como el único factor de MFA. Es obligatorio usar los códigos de respaldo en combinación con otros factores principales de MFA (passkeys, aplicación autenticadora, SMS, correo electrónico).
  3. Configura tu política de MFA preferida (obligatoria vs. opcional)
  4. Guarda los cambios de configuración

Configurar la gestión de códigos de respaldo

Puedes usar la Account API para crear interfaces personalizadas de gestión de cuentas donde los usuarios puedan ver, regenerar y eliminar sus códigos de respaldo. Esto permite a los usuarios gestionar sus opciones de recuperación directamente desde la configuración de cuenta de tu aplicación.

Para pasos detallados de implementación y endpoints de la API, consulta Configuración de cuenta por Account API.

Flujos de configuración de códigos de respaldo

Debido a que los códigos de respaldo son un factor secundario de MFA, solo pueden configurarse después de que se haya configurado correctamente un factor principal de MFA. Se mostrará al usuario un grupo de 10 códigos de respaldo generados automáticamente, que podrá descargar y copiar de forma segura. El usuario debe confirmar manualmente los códigos de respaldo para completar el proceso de configuración de MFA.

Flujo de configuración de códigos de respaldo

Flujo de verificación de códigos de respaldo

Los códigos de respaldo sirven como autenticación de emergencia cuando los factores principales de MFA no están disponibles. Cada código solo puede usarse una vez y se vuelve inválido después de una verificación exitosa.

Prioridad de verificación:

  • Primero los factores principales: Cuando los usuarios tienen otros factores de MFA configurados, se solicitan primero los factores principales (passkeys, TOTP, SMS, correo electrónico).
  • Acceso a códigos de respaldo: Los usuarios pueden cambiar a los códigos de respaldo haciendo clic en "Probar otro método de verificación" si los factores principales no están disponibles.
  • Escenario de respaldo: Si se eliminan todos los factores principales, los códigos de respaldo se convierten en la única opción de verificación. Después de una verificación MFA exitosa mediante códigos de respaldo durante el inicio de sesión, Logto solicita automáticamente a los usuarios que configuren un nuevo factor principal.
Flujo de verificación de códigos de respaldo