Dispositivos de confianza (Remember device con 2FA)

3 min de lectura

Si tiene el 2FA activado y desea omitir el código de 6 dígitos al iniciar sesión desde su PC o móvil habitual, marque "Recordar este dispositivo" - durante 30 días no le volveremos a pedir el TOTP.

Cómo funciona

1. En el primer login con 2FA correcto en el dispositivo, marque "Recordar este dispositivo"
2. Guardamos en el navegador una cookie HTTP-only con un token firmado (HMAC, no manipulable)
3. En el siguiente inicio de sesión (mismo navegador, mismo dispositivo) encontramos esta cookie y omitimos el paso 2FA
4. Tras 30 días el token expira y deberá introducir el TOTP de nuevo

Gestión de dispositivos de confianza

En Ajustes -> sección Seguridad -> Dispositivos de confianza verá la lista:

• Nombre del dispositivo (extraído del user-agent - por ejemplo "Chrome en Windows 11")
• IP y país del último inicio de sesión
• Fecha de adición y del último uso
• Botón Eliminar - revoca la confianza al instante (la cookie será rechazada en la siguiente solicitud)

Cuándo eliminar un dispositivo

• Si inició sesión en un PC ajeno o público (cafetería, biblioteca)
• Si perdió o vendió su portátil o móvil
• Si ve en la lista un dispositivo que no reconoce (incluida la IP / el país)

Mecanismos de seguridad

• Firma HMAC: el token está firmado con un secreto del servidor - un atacante no puede generar una cookie válida sin romper el secreto
• HTTP-only: el JavaScript de la página no ve la cookie (protección contra exfiltración por XSS)
• Secure flag: la cookie solo se envía por HTTPS
• Por cuenta: el token contiene el user ID - una cookie robada de la cuenta A no funciona en la cuenta B
• Caducidad automática: 30 días de validez, después es obligatorio volver a introducir el TOTP
• Al cambiar la contraseña (mediante "Olvidé mi contraseña" o restablecimiento) todos los dispositivos de confianza se eliminan automáticamente - un atacante con la cookie ya no podrá omitir el 2FA