Verificación por correo electrónico para MFA
Logto admite la funcionalidad de autenticación multifactor (MFA) basada en correo electrónico que mejora la seguridad de la cuenta enviando códigos de verificación de un solo uso a las direcciones de correo electrónico registradas de los usuarios. El MFA por correo electrónico sirve como un segundo factor de autenticación y puede combinarse con otros factores de MFA (como TOTP, passkeys, códigos de respaldo) para ofrecer a los usuarios opciones flexibles de autenticación en dos pasos.
Conceptos
La verificación por correo electrónico es uno de los métodos de MFA más universalmente accesibles. Aprovecha la amplia disponibilidad de cuentas de correo electrónico para entregar códigos de verificación temporales y de un solo uso directamente a las bandejas de entrada de los usuarios. A diferencia de los autenticadores basados en aplicaciones que requieren la instalación de software adicional, el MFA por correo electrónico utiliza la infraestructura de correo existente que ya es accesible para prácticamente todos los usuarios de Internet a través de navegadores web, clientes de correo o aplicaciones móviles. Esto lo hace inmediatamente disponible para los usuarios sin requisitos de hardware especial ni configuraciones adicionales más allá de tener una cuenta de correo electrónico.
Configurar la verificación por correo electrónico para MFA
Paso 1: Configura el conector de correo electrónico y las plantillas
-
Navega a Consola > Conectores > Conectores de correo electrónico y SMS
-
Selecciona un conector de correo electrónico apropiado (SendGrid, Mailgun, etc.)
-
Configura los parámetros de conexión.
-
Configura la plantilla de correo electrónico para MFA con los tipos de uso dedicados:
MfaVerificationusageType para verificar MFA.BindMFAusageType para vincular MFA.- Consejos: Servicio de correo electrónico de Logto proporciona plantillas de correo electrónico integradas.
-
Consulta Conectores de correo electrónico para instrucciones de configuración específicas del proveedor.
Paso 2: Habilita el correo electrónico para MFA
- Navega a Consola > Autenticación multifactor
- Habilita el factor "Código de verificación por correo electrónico". Se recomienda usar el MFA por correo electrónico en combinación con otros factores de MFA (TOTP, passkeys, SMS, códigos de respaldo) para reducir la dependencia de un solo factor.
- Configura tu política de MFA preferida (obligatorio vs. opcional)
- Guarda los cambios de configuración
-
Limitación del método de inicio de sesión: Los códigos de verificación por correo electrónico no pueden usarse simultáneamente como método de inicio de sesión (1FA) y como factor de MFA (2FA). Elige un flujo de autenticación por implementación de correo electrónico.
-
Compatibilidad del método de registro: Los códigos de verificación por correo electrónico pueden usarse simultáneamente tanto para el método de registro como para MFA. Logto optimizará el flujo de registro del usuario final según la política de MFA seleccionada para evitar requerir la verificación por correo dos veces para la misma dirección.
-
Compatibilidad con recuperación de contraseña: Aunque los códigos de verificación por correo electrónico pueden usarse simultáneamente tanto para Olvidé mi contraseña como para MFA, esta combinación no se recomienda. Esta configuración reduce la efectividad de la seguridad de MFA, ya que los usuarios podrían potencialmente omitir MFA usando la verificación por correo de "olvidé mi contraseña" para restablecer su contraseña, luego usar la nueva contraseña para la autenticación primaria (1FA) y después el mismo método de correo para la verificación MFA.
Flujos de configuración de MFA por correo electrónico
La solicitud de configuración de MFA puede aparecer durante el registro del usuario o después de iniciar sesión, dependiendo de tu política de MFA configurada.
El flujo de configuración de MFA por correo electrónico se ve afectado por los siguientes factores:
- Número de factores primarios de MFA: Si hay varios factores primarios, el usuario debe elegir uno para configurar. Los factores primarios son métodos de MFA distintos a los códigos de respaldo.
- Códigos de respaldo habilitados: Cuando están habilitados, los códigos de respaldo se generan automáticamente después de configurar el factor primario de MFA; se solicita al usuario que los guarde.
- Configuración del identificador de registro: Si la dirección de correo electrónico se usó como identificador de registro y el usuario ya la verificó con un código de correo durante el registro, el sistema vinculará automáticamente ese correo como factor de MFA y no se requerirá más verificación. Si existen otros factores primarios, la interfaz mostrará una opción "Agregar otra verificación en 2 pasos" (el usuario puede omitirla), lo que también indica claramente que MFA está habilitado.
- Datos de usuario existentes: Cuando un usuario existente configura MFA después de iniciar sesión, primero debe completar la autenticación primaria y luego proceder con la configuración de MFA. Si la cuenta ya contiene una dirección de correo electrónico primaria verificada, la configuración se comporta igual que en el caso del identificador de registro.
A continuación se muestran tres escenarios comunes de vinculación de MFA por correo electrónico.
Escenario 1: Dirección de correo solo usada para MFA (Flujo típico)
Cuando la dirección de correo electrónico no es uno de los identificadores de registro y solo se usa para MFA, sigue la secuencia de configuración estándar:
- Si solo hay un factor de MFA por correo electrónico, muestra directamente la interfaz de configuración para ese factor.
- Si hay varios factores primarios de MFA, muestra una página de lista "Configurar MFA" y permite al usuario elegir qué factor configurar.
Ejemplos:
Registro: Número de teléfono + Código de verificación SMS + Contraseña | MFA: Código de verificación por correo + Códigos de respaldo
Número de teléfono + Código de verificación SMS + Contraseña | MFA: Código de verificación por correo + Códigos de respaldo
Registro: Número de teléfono + Código de verificación SMS + Contraseña | MFA: Código de verificación por correo + Passkeys + OTP de app autenticadora + Códigos de respaldo
Número de teléfono + Código de verificación SMS + Contraseña | MFA: Código de verificación por correo + Passkeys + OTP de app autenticadora + Códigos de respaldo
Escenario 2: Correo verificado como identificador de registro
Si la dirección de correo electrónico es el identificador de registro y el usuario ya la verificó con un código de correo durante el registro, el sistema vinculará automáticamente ese correo como factor de MFA — no se necesita verificación adicional.
Ejemplos:
Registro: Dirección de correo + Código de verificación por correo + Contraseña | MFA: Código de verificación por correo + Códigos de respaldo
Dirección de correo + Código de verificación por correo + Contraseña | MFA: Código de verificación por correo + Códigos de respaldo
Escenario 3: Correo verificado pero hay varios factores primarios disponibles
Si la dirección de correo fue verificada al registrarse (como identificador de registro) pero la cuenta tiene varios factores primarios de MFA (por ejemplo, correo más passkeys o apps autenticadoras), la interfaz solicitará al usuario "Agregar otra verificación en 2 pasos". El usuario puede elegir agregar otro factor u omitirlo; la solicitud también comunica que MFA ya está habilitado.
Ejemplos:
Registro: Dirección de correo + Código de verificación por correo + Contraseña | MFA: Código de verificación por correo + Passkeys + OTP de app autenticadora + Códigos de respaldo
Dirección de correo + Código de verificación por correo + Contraseña | MFA: Código de verificación por correo + Passkeys + OTP de app autenticadora + Códigos de respaldo
Flujos de verificación de MFA por correo electrónico
Cuando un usuario con MFA por correo electrónico habilitado inicia sesión, después de completar con éxito la autenticación primaria (1FA), se le solicitará verificar su identidad usando el código de verificación por correo como segundo factor de autenticación (2FA).
Si hay varios factores de MFA disponibles, los usuarios pueden seleccionar entre los factores configurados. El sistema determina qué factor de MFA solicitar primero según el orden de prioridad especificado en Configurar MFA.
Ejemplos:
Inicio de sesión: Número de teléfono + Contraseña | MFA: Código de verificación por correo (última vez usado) / OTP de app autenticadora / Códigos de respaldo
Número de teléfono + Contraseña | MFA: Código de verificación por correo (última vez usado) / OTP de app autenticadora / Códigos de respaldo
Manejo de errores
-
Dirección de correo no vinculada
- Código de error:
session.mfa.mfa_factor_not_enabled - Manejo: Guiar al usuario para vincular primero la dirección de correo
- Código de error:
-
Código de verificación incorrecto
- Código de error:
verification_code.code_mismatch - Manejo: Solicitar al usuario que lo reingrese, limitar los intentos
- Código de error:
-
Código de verificación expirado
- Código de error:
verification_code.expired - Manejo: Solicitar al usuario que solicite un nuevo código de verificación
- Código de error:
-
Límite de envío excedido
- Código de error:
connector.rate_limit_exceeded - Manejo: Mostrar tiempo de espera, limitar reenvíos
- Código de error: