Acerca de Dispositivos de Confianza
SSO con dispositivos de confianza permite a los usuarios autenticarse usando SSO y descifrar su caja fuerte utilizando una clave de cifrado almacenada en el dispositivo, eliminando la necesidad de ingresar una contraseña maestra. Los dispositivos de confianza deben estar registrados con anticipación al intento de inicio de sesión, o aprobados a través de varios métodos diferentes.
El SSO con dispositivos de confianza proporciona a los usuarios finales de negocios una experiencia sin contraseñas que también es de cero conocimiento y cifrada de extremo a extremo. Esto evita que los usuarios queden bloqueados debido a contraseñas maestras olvidadas y les permite disfrutar de una experiencia de inicio de sesión simplificada.
Para comenzar a usar SSO con dispositivos de confianza:
Configure SSO con dispositivos confiables para su organización.
Proporcione a los administradores información sobre cómo aprobar solicitudes de dispositivo.
Proporcione a los usuarios finales información sobre cómo agregar dispositivos de confianza.
Las siguientes pestañas describen los procesos de cifrado e intercambios de claves que ocurren durante diferentes procedimientos de dispositivos de confianza:
Cuando un nuevo usuario se une a una organización, se crea una Clave de Recuperación de Cuenta (aprende más) cifrando su clave de cifrado de cuenta con la clave pública de la organización. Se requiere la recuperación de la cuenta para habilitar SSO con dispositivos de confianza.
Luego se le pregunta al usuario si quiere recordar, o confiar en, el dispositivo. Cuando deciden hacerlo:
Una nueva Clave del Dispositivo es generada por el cliente. Esta llave nunca deja al cliente.
Un nuevo par de claves RSA, Clave Privada del Dispositivo y Clave Pública del Dispositivo, es generado por el cliente.
La clave de cifrado de la cuenta del usuario se cifra con la clave pública del dispositivo sin cifrar y el valor resultante se envía al servidor como la Clave de Usuario Cifrada con Clave Pública.
La Clave Pública del Dispositivo se cifra con la clave de cifrado de la cuenta del usuario y el valor resultante se envía al servidor como la Clave Pública del Usuario Cifrada con la Clave.
La Clave Privada del Dispositivo se cifra con la primera Clave del Dispositivo y el valor resultante se envía al servidor como la Clave Privada del Dispositivo Cifrada con la Clave del Dispositivo.
La Clave de Usuario Cifrada con Clave Pública y la Clave Privada Cifrada con Clave de Dispositivo serán, crucialmente, enviadas del servidor al cliente cuando se inicia un inicio de sesión.
La Clave Pública Cifrada con Clave de Usuario se utilizará en caso de que el usuario necesite rotar su clave de cifrado de cuenta.
Esta tabla proporciona más información sobre cada clave utilizada en los procedimientos descritos anteriormente:
Clave | Detalles |
|---|---|
Clave del dispositivo | AES-256 CBC HMAC SHA-256, 512 bits de longitud (256 bits para la clave, 256 bits para HMAC) |
Clave Privada del Dispositivo & Clave Pública del Dispositivo | RSA-2048 OAEP SHA1, 2048 bits de longitud |
Clave de Usuario Cifrada con Clave Pública | RSA-2048 OAEP SHA1 |
Clave de Usuario-Cifrado de Clave Pública | AES-256 CBC HMAC SHA-256 |
Dispositivo Clave-Cifrado Clave Privada | AES-256 CBC HMAC SHA-256 |
Mientras que el SSO con dispositivos de confianza elimina la necesidad de una contraseña maestra, no elimina en todos los casos la contraseña maestra en sí:
Si un usuario es incorporado antes de que se active SSO con dispositivos de confianza, o si seleccionan Crear cuenta desde la invitación de la organización, su cuenta mantendrá su contraseña maestra.
Si un usuario es incorporado después de que se activa el SSO con dispositivos de confianza y seleccionan Iniciar sesión → SSO de Empresa desde la invitación de la organización para provisión JIT, su cuenta no tendrá una contraseña maestra.
warning
Para aquellas cuentas que no tienen una contraseña maestra como resultado de SSO con dispositivos de confianza, eliminarlos de su organización o revocar su acceso cortará todo acceso a su cuenta de Bitwarden a menos que:
Les asignas una contraseña maestra usando recuperación de cuenta de antemano.
El usuario inicia sesión al menos una vez después de la recuperación de la cuenta para completar completamente el flujo de trabajo de recuperación de la cuenta.
Dependiendo de si un hash de contraseña maestra está disponible en la memoria para su cliente, lo cual está dictado por cómo se accede inicialmente a su aplicación de cliente, puede exhibir los siguientes cambios de comportamiento:
Funcionalidad | Impacto |
|---|---|
Verificación | Hay un número de funcionalidades en las aplicaciones cliente de Bitwarden que normalmente requieren la entrada de una contraseña maestra para ser utilizadas, incluyendo exportar los datos de la caja fuerte, cambiar los ajustes de inicio de sesión en dos pasos, recuperar claves API, y más. Si el usuario no utiliza una contraseña maestra para acceder al cliente, todas estas funcionalidades reemplazarán la confirmación de la contraseña maestra con la verificación de TOTP basada en correo electrónico. |
Bloquear/desbloquear caja fuerte | Bajo circunstancias ordinarias, una caja fuerte bloqueada puede ser desbloqueada utilizando una contraseña maestra. Si el usuario no utiliza una contraseña maestra para acceder al cliente, las aplicaciones de cliente bloqueadas solo pueden desbloquearse con un PIN o con biométrica. Si ni el PIN ni la biométrica están habilitados para una aplicación de cliente, la caja fuerte siempre cerrará sesión en lugar de bloquear. Para desbloquear e iniciar sesión siempre será necesaria una conexión a Internet. |
Volver a preguntar contraseña maestra | Si el usuario no desbloquea su caja fuerte con una contraseña maestra, se desactivará la repetición de la contraseña maestra. |
CLI | Los usuarios que no tienen una contraseña maestra no podrán acceder al administrador de contraseñas ILC. |
Sugerir cambios en esta página
¿Cómo podemos mejorar esta página para usted?
Si tiene preguntas técnicas, sobre facturación o sobre el producto, póngase en contacto con el servicio de asistencia.