Autenticación multifactor — TOTP / FIDO2 / YubiKey

Proteja cada acceso — sin frenar a su equipo.

2fabyakyras es el módulo MFA más completo para Dolibarr. Admite tres segundos factores estándar del sector — TOTP (Google Authenticator, Authy, FreeOTP), passkeys FIDO2/WebAuthn (Windows Hello, Touch ID, llaves hardware) y YubiKey OTP — y permite que cada usuario elija el que mejor le conviene, dentro de los límites fijados por el administrador.

¿Por qué 2fabyakyras?

• Tres métodos, un solo módulo. TOTP, passkeys FIDO2, YubiKey OTP. El usuario elige, el admin controla.
• Aplicación granular. Exija 2FA globalmente, por rol o por usuario individual.
• Incorporación guiada. Código QR integrado, códigos de recuperación personales, restablecimiento por parte del admin. Menos tickets de soporte.
• "Recordar este dispositivo". Duración configurable (30 días por defecto). Cookie cifrada, vinculada a IP y User-Agent, almacenada como hash.
• Registros de auditoría completos. Cada intento se registra con marca de tiempo, IP y navegador. Registros paginados, filtrables y exportables. La actividad sospechosa dispara una alerta por correo electrónico.

Detalles técnicos

• Secretos TOTP cifrados en reposo (AES-256-CBC, IV único por secreto).
• Protección anti-repetición: cada código TOTP es de un solo uso dentro de su ventana de 30 segundos.
• Detección de clave clonada WebAuthn: una regresión del sign_count provoca el rechazo inmediato del inicio de sesión (especificación W3C WebAuthn §7.2).
• Soporte de varias claves WebAuthn por usuario.
• Doble protección CSRF (token nativo de Dolibarr + token 2FA dedicado).
• Rotación del ID de sesión tras cada autenticación exitosa.
• Cookies Secure/HttpOnly/SameSite=Strict, cabeceras no-store en todas las páginas sensibles.
• Validación de YubiKey OTP a través de YubiCloud (firmado con HMAC-SHA1, nonce verificado).
• Más de 60 idiomas incluidos, entre ellos RTL (árabe, hebreo, persa, urdu).
• Compatible con Dolibarr v18–v23.

Separación de funciones

Los administradores gestionan métodos, políticas y registros de auditoría — pero no pueden leer, desactivar ni eludir la 2FA de ningún usuario. Cada usuario es el único responsable de su segundo factor.