Verificación por correo electrónico para MFA
Logto admite la funcionalidad de autenticación multifactor (MFA) basada en correo electrónico que mejora la seguridad de la cuenta enviando códigos de verificación de un solo uso a las direcciones de correo electrónico registradas de los usuarios. El MFA por correo electrónico sirve como un segundo factor de autenticación y puede combinarse con otros factores de MFA (como TOTP, llaves de acceso, códigos de respaldo) para ofrecer a los usuarios opciones flexibles de autenticación en dos pasos.
Conceptos
La verificación por correo electrónico es uno de los métodos de MFA más universalmente accesibles. Aprovecha la amplia disponibilidad de cuentas de correo electrónico para entregar códigos de verificación temporales y de un solo uso directamente a las bandejas de entrada de los usuarios. A diferencia de los autenticadores basados en aplicaciones que requieren la instalación de software adicional, el MFA por correo electrónico utiliza la infraestructura de correo existente que ya es accesible para prácticamente todos los usuarios de Internet a través de navegadores web, clientes de correo o aplicaciones móviles. Esto lo hace inmediatamente disponible para los usuarios sin requisitos de hardware especial ni configuraciones adicionales más allá de tener una cuenta de correo electrónico.
Configurar la verificación por correo electrónico para MFA
Paso 1: Configura el conector de correo electrónico y las plantillas
-
Navega a Consola > Conectores > Conectores de correo electrónico y SMS
-
Selecciona un conector de correo electrónico apropiado (SendGrid, Mailgun, etc.)
-
Configura los parámetros de conexión.
-
Configura la plantilla de correo electrónico para MFA con los tipos de uso dedicados:
MfaVerificationusageType para verificar MFA.BindMFAusageType para vincular MFA.- Consejos: Servicio de correo electrónico de Logto proporciona plantillas de correo electrónico integradas.
-
Consulta Conectores de correo electrónico para instrucciones de configuración específicas del proveedor.
Paso 2: Habilita el correo electrónico para MFA
- Navega a Consola > Autenticación multifactor
- Habilita el factor "Código de verificación por correo electrónico". Se recomienda usar el MFA por correo electrónico en combinación con otros factores de MFA (TOTP, llaves de acceso, SMS, códigos de respaldo) para reducir la dependencia de un solo factor.
- Configura tu política de MFA preferida (obligatorio vs. opcional)
- Guarda los cambios de configuración
-
Limitación del método de inicio de sesión: Los códigos de verificación por correo electrónico no pueden usarse simultáneamente como método de inicio de sesión (1FA) y como factor de MFA (2FA). Elige un flujo de autenticación por implementación de correo electrónico.
-
Compatibilidad con el método de registro: Los códigos de verificación por correo electrónico pueden usarse simultáneamente tanto para el método de registro como para MFA. Logto optimizará el flujo de registro del usuario final según la política de MFA seleccionada para evitar requerir la verificación de correo electrónico dos veces para la misma dirección.
-
Compatibilidad con recuperación de contraseña: Aunque los códigos de verificación por correo electrónico pueden usarse simultáneamente tanto para Olvidé mi contraseña como para MFA, esta combinación no es recomendable. Esta configuración reduce la efectividad de la seguridad de MFA, ya que los usuarios podrían potencialmente omitir MFA usando la verificación de correo electrónico para restablecer la contraseña, luego usar la nueva contraseña para la autenticación primaria (1FA) seguida del mismo método de correo electrónico para la verificación MFA.
Flujos de configuración de MFA por correo electrónico
La solicitud de configuración de MFA puede aparecer durante el registro del usuario o después de iniciar sesión, dependiendo de tu política de MFA configurada. Los usuarios también pueden habilitar MFA por correo electrónico desde su página de configuración de cuenta.
El flujo de configuración de MFA por correo electrónico se ve afectado por los siguientes factores:
- Número de factores primarios de MFA: Si hay varios factores primarios, el usuario debe elegir uno para configurar. Los factores primarios son métodos de MFA distintos a los códigos de respaldo.
- Códigos de respaldo habilitados: Cuando están habilitados, los códigos de respaldo se generan automáticamente después de configurar el factor primario de MFA; se solicita al usuario que los guarde.
- Configuración del identificador de registro: Si la dirección de correo electrónico se utilizó como identificador de registro y el usuario ya la verificó con un código de correo electrónico durante el registro, el sistema vinculará automáticamente ese correo como factor de MFA y no se requerirá verificación adicional. Si existen otros factores primarios, la interfaz mostrará una opción "Agregar otra verificación en 2 pasos" (el usuario puede omitirla), lo que también indica claramente que MFA está habilitado.
- Datos de usuario existentes: Cuando un usuario existente configura MFA después de iniciar sesión, primero debe completar la autenticación primaria y luego proceder con la configuración de MFA. Si la cuenta ya contiene una dirección de correo electrónico primaria verificada, la configuración se comporta igual que en el caso del identificador de registro mencionado arriba.
A continuación se muestran tres escenarios comunes de vinculación de MFA por correo electrónico.
Escenario 1: Dirección de correo electrónico solo utilizada para MFA (Flujo típico)
Cuando la dirección de correo electrónico no es uno de los identificadores de registro y solo se usa para MFA, sigue la secuencia de configuración estándar:
- Si solo hay un factor de MFA por correo electrónico, muestra directamente la interfaz de configuración para ese factor.
- Si hay varios factores primarios de MFA, muestra una página de lista "Configurar MFA" y permite al usuario elegir qué factor configurar.
Ejemplos:
Registro: Número de teléfono + Código de verificación SMS + Contraseña | MFA: Código de verificación por correo electrónico + Códigos de respaldo
Número de teléfono + Código de verificación SMS + Contraseña | MFA: Código de verificación por correo electrónico + Códigos de respaldo
Registro: Número de teléfono + Código de verificación SMS + Contraseña | MFA: Código de verificación por correo electrónico + Llaves de acceso + OTP de app autenticadora + Códigos de respaldo
Número de teléfono + Código de verificación SMS + Contraseña | MFA: Código de verificación por correo electrónico + Llaves de acceso + OTP de app autenticadora + Códigos de respaldo
Escenario 2: Correo electrónico verificado como identificador de registro
Si la dirección de correo electrónico es el identificador de registro y el usuario ya la verificó con un código de correo electrónico durante el registro, el sistema vinculará automáticamente ese correo como factor de MFA — no se necesita verificación adicional.
Ejemplos:
Registro: Dirección de correo electrónico + Código de verificación por correo electrónico + Contraseña | MFA: Código de verificación por correo electrónico + Códigos de respaldo
Dirección de correo electrónico + Código de verificación por correo electrónico + Contraseña | MFA: Código de verificación por correo electrónico + Códigos de respaldo
Escenario 3: Correo electrónico verificado pero existen varios factores primarios
Si la dirección de correo electrónico fue verificada al registrarse (como identificador de registro) pero la cuenta tiene varios factores primarios de MFA (por ejemplo, correo electrónico más llaves de acceso o apps autenticadoras), la interfaz solicitará al usuario "Agregar otra verificación en 2 pasos". El usuario puede elegir agregar otro factor u omitirlo; la solicitud también comunica que MFA ya está habilitado.
Ejemplos:
Registro: Dirección de correo electrónico + Código de verificación por correo electrónico + Contraseña | MFA: Código de verificación por correo electrónico + Llaves de acceso + OTP de app autenticadora + Códigos de respaldo
Dirección de correo electrónico + Código de verificación por correo electrónico + Contraseña | MFA: Código de verificación por correo electrónico + Llaves de acceso + OTP de app autenticadora + Códigos de respaldo
Flujos de verificación de MFA por correo electrónico
Cuando un usuario con MFA por correo electrónico habilitado inicia sesión, después de completar con éxito la autenticación primaria (1FA), se le solicitará verificar su identidad usando el código de verificación por correo electrónico como segundo factor de autenticación (2FA).
Si hay varios factores de MFA disponibles, los usuarios pueden seleccionar entre los factores configurados. El sistema determina qué factor de MFA solicitar primero según el orden de prioridad especificado en Configurar MFA.
Ejemplos:
Inicio de sesión: Número de teléfono + Contraseña | MFA: Código de verificación por correo electrónico (última vez usado) / OTP de app autenticadora / Códigos de respaldo
Número de teléfono + Contraseña | MFA: Código de verificación por correo electrónico (última vez usado) / OTP de app autenticadora / Códigos de respaldo
Manejo de errores
-
Dirección de correo electrónico no vinculada
- Código de error:
session.mfa.mfa_factor_not_enabled - Manejo: Guiar al usuario para vincular primero la dirección de correo electrónico
- Código de error:
-
Código de verificación incorrecto
- Código de error:
verification_code.code_mismatch - Manejo: Solicitar al usuario que lo reingrese, limitar los intentos
- Código de error:
-
Código de verificación expirado
- Código de error:
verification_code.expired - Manejo: Solicitar al usuario que solicite un nuevo código de verificación
- Código de error:
-
Límite de envío excedido
- Código de error:
connector.rate_limit_exceeded - Manejo: Mostrar tiempo de espera, limitar reenvíos
- Código de error: