UsuarioDebian: abril 2026

domingo, 26 de abril de 2026

Joomla: autenticación FIDO2 / WebAuthn con Nitrokey 3

1. Introducción

En este manual aprenderemos a integrar la llave de seguridad Nitrokey 3 como método de autenticación segura en Joomla utilizando los estándares FIDO2 y WebAuthn. Permitiendo iniciar sesión sin contraseña, utilizando únicamente la llave de seguridad (Nitrokey 3).

El objetivo es que cualquier usuario pueda:

- habilitar WebAuthn en Joomla
- registrar una llave de seguridad (Nitrokey 3)
- iniciar sesión usando FIDO2 / WebAuthn
- gestionar varias llaves
- resolver errores comunes

Este manual se ha elaborado utilizando:

- Joomla
- Nitrokey 3A NFC
- Navegadores compatibles con WebAuthn (Chrome, Firefox, Edge, Chromium)

Al finalizar, tendrás un sistema de autenticación moderno, seguro y sin contraseñas, totalmente integrado en Joomla.

2. Requisitos técnicos

Para utilizar la llave de seguridad (Nitrokey 3) como método de autenticación FIDO2 / WebAuthn en Joomla es necesario cumplir una serie de requisitos técnicos.

- Tener un sitio web con Joomla
- Sitio web servido mediante HTTPS
- Un navegador compatible
- Una llave de seguridad (Nitrokey 3)
- Usar el plugin: Sistema - Inicio de sesión sin contraseña de WebAuthn

Si alguno de estos puntos no se cumple, el registro de la llave o el inicio de sesión pueden fallar.

2.1 Tener un sitio web con Joomla

Este manual está basado en Joomla

Requisitos mínimos:

- Joomla correctamente instalado
- Acceso al panel de administración

2.2 Sitio web servido mediante HTTPS

WebAuthn no funciona en HTTP. El sitio debe estar servido obligatoriamente bajo HTTPS con un certificado de seguridad válido.
Si intentas registrar la llave en un sitio HTTP, aparecerá el error: SecurityError: The operation is insecure

Por tanto, asegúrate de que:

- El dominio tiene un certificado SSL válido
- No hay contenido mixto (HTTP dentro de HTTPS)
- El navegador nos muestre las advertencias de seguridad

2.3 Un navegador compatible

Para registrar y usar una llave de seguridad (Nitrokey 3) en Joomla necesitas un navegador con soporte completo para FIDO2 / WebAuthn.

- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Google Chromium

2.4 Una llave de seguridad (Nitrokey 3)

Antes de usar la llave de seguridad (Nitrokey 3) en Joomla, asegúrate de que:

- La llave de seguridad está actualizada a la última versión de firmware
- El módulo FIDO2 / WebAuthn este configurado para usar: PIN y/o Sensor dactilar (ambos opcional, pero recomendado)

Si necesitas revisar la configuración, consulta el Manual: Configurar Nitrokey 3 desde Nitrokey App 2 (GUI).

La llave de seguridad (Nitrokey 3) puede registrarse mediante las opciones: USB-A, USB-C y NFC, pero cada método depende del dispositivo utilizado y del soporte del servicio (en este caso Joomla).

Es importante entender estas limitaciones para evitar errorres durante el registro de la llave.

Registrar una llave de seguridad en Joomla crea una credencial FIDO2, que queda almacenada.

Sin embargo, FIDO2 / WebAuthn distingue entre los transportes:

- USB (USB-A, USB-C)
- NFC

Cada transporte (USB y NFC) requiere de registro.

Ejemplo:

- Registrar la llave por USB-A o USB-C (habilita el transporte USB)
- Registrar la llave por NFC (habilita el transporte NFC)

Si deseas usar la llave mediante NFC, debes iniciar sesión en Joomla desde Android/Iphone.

2.5 Usar el plugin: Sistema - Inicio de sesión sin contraseña de WebAuthn

Joomla incluye soporte para WebAuthn de forma nativa mediante el plugin: Sistema - Inicio de sesión sin contraseña de WebAuthn. No es necesario instalar nada adicional, el plugin ya forma parte del sistema, pero viene desactivado por defecto.

Para poder registrar la llave de seguridad (Nitrokey 3), es necesario:

- Activar el plugin: Sistema - Inicio de sesión sin contraseña de WebAuthn
- Asegurarse de que el sitio funciona bajo HTTPS

Observaciones:
Un usuario puede quedarse bloqueado al intentar usar un servicio si:

- No puede iniciar sesión desde el móvil ni el pc
- Si usa una llave de seguridad USB-C y NO tiene adaptador USB-C a USB-A para conectarse al pc
- Si usa una llave de seguridad USB-A y NO tiene adaptador USB-A a USB-C para conectarse al móvil
- Intenta registrar por NFC en PC (no funciona)

Por eso es importante leer esta sección antes de continuar.
El uso de llaves de seguridad, conlleva usar al menos dos llaves de seguridad:

- 1 llave de uso diario
- 1 llave como "backup"

Y en caso de deterioro, rotura, perdida o robo, damos de baja del servicio (en este caso; Joomla) dicha llave, y damos de alta la nueva llave de seguridad. Porque siempre se recomienda usar 2 llaves de seguiridad

NOTA MUY IMPORTANTE: El backup no es una copia exacta, ya que las llaves de seguridad no se pueden clonar, ni hacer copias. Lo que se tiene que hacer es registrar las dos llaves físicas, en el mismo servicio (en este caso en joomla).

3. Activación y configuración FIDO2 / WebAuthn en Joomla

Joomla incluye soporte nativo para autenticación sin contraseña mediante el plugin: Sistema - Inicio de sesión sin contraseña de WebAuthn, que viene instalado por defecto pero esta desactivado.
Para poder registrar y utilizar la Nitrokey 3 como clave de seguridad, es necesario activarlo.

A continuación se detallan los pasos.

3.1 Activar el plugin WebAuthn

Iniciamos sesión en el panel de administración de Joomla. Y seguimos los siguientes pasos

- Primero haz clic en el menú izquierdo en: Sistema

En el menú de la derecha hacemos clic en: Plugins

En el buscador superior, escribe: webauthn

Debería aparecer el plugin: Sistema - Inicio de sesión sin contraseña de WebAuthn y observamos como el plugins esta instalado pero desactivado

Selecciona dicho plugins marcándolo en el check de la izquierda y en la parte superior, hacemos clic en: Habilitar

A partir de este momento, Joomla ya permite registrar llaves de seguridad con soporte FIDO2 / WebAuthn, como las Nitrokey 3.

4. Registrar llaves de seguridad FIDO2 / WebAuthn por USB

Este registro se realiza desde el perfil del usuario, y únicamente lo puede hacer el mismo usuario, nunca el administrador, no se puede registrar llaves de seguridad en un perfil distinto al que está logueado. Y lo podemos hacer desde un PC o desde el móvil (siendo indiferente donde lo habilites, es totalmente válido para usar tanto en el PC como en el móvil)

A continuación se detalla el proceso.

- Primero conectamos la llave de seguridad al PC

- Iniciamos sesión en el panel de administración de Joomla. En el menú lateral o central, hacemos clic en: Usuario

- Haz clic sobre tu nombre de usuario.

- Accede a la pestaña: Inicio de sesión de autenticación web W3C (WebAuthn)

NOTA MUY IMPORTANTE: Esta pestaña solo aparece cuando activas el plugins

- Hacemos clic en: + Añadir nuevo autenticador

El navegador mostrará una ventana emergente solicitando el PIN de seguridad del modulo FIDO2 / WebAuthn (que configuramos en el Manual 2).

Introducimos la contraseña y pulsamos en siguiente.

Ahora nos pide que toquemos el sensor de la llave de seguridad (que configuramos en el Manual 2). La llave de seguridad (nitrokey 3) comenzará a parpadear, indicando que está esperando la confirmación táctil, para confirmar y autorizar la operación.

Una vez que pulsemos el sensor táctil, la llave de seguridad queda registrada en la administración Joomla.

- La nueva llave aparecerá en la lista de llaves de seguridad
- Le ponemos un nombre descriptivo, para diferenciar cada llave de seguridad

Ejemplos de nombres útiles:

- Nitrokey 3A USB
- Nitrokey 3A NFC

Ahora repetimos el mismo proceso para añadir el transporte NFC. Aquí solo se puede hacer desde el propio móvil Android / Iphone. Una vez registrado nos aparece listado en el almacén de llaves de seguridad.

Nota importantes:
- Si la llave no parpadea, desconéctala y vuelve a conectarla.
- Si aparece un error de seguridad, revisa que el sitio esté bajo HTTPS.
- Si el navegador no muestra la ventana emergente, revisa bloqueadores o políticas de seguridad.
- Si la operación expira, repite el proceso

5. Inicio de sesión en Joomla usando la llave de seguridad (Nitrokey 3)

Una vez registrada la llave de seguridad (Nitrokey 3), ya es posible iniciar sesión en Joomla utilizando autenticación FIDO2 / WebAuthn, sin necesidad de introducir una contraseña. El proceso es sencillo, rápido y seguro.

A continuación se muestra el flujo completo.

- Abre el navegador. Accede a la URL de inicio de sesión de Joomla (backend o frontend). Verás el formulario habitual de usuario, contraseña y Autenticación Web.
- Solo es necesario introducir el usuario. Y hacemos clic en Autenticación web

El navegador mostrará una ventana emergente solicitando introducir el PIN de la llave de seguridad (FIDO2).
Introducimos la contraseña y pulsamos en continuar.

Ahora debemos tocar la Nitrokey 3 para confirmar y autorizar la operación.

Si el toque ha sido reconocido correctamente, ya nos habremos logeado en el sistema.

6. Gestión de llaves de seguridad registradas

Una vez registrada la llave de seguridad (Nitrokey 3) como método de autenticación, Joomla permite gestionar todas las llaves de seguridad que tiene activada cada usuario.

Desde el perfil del usuario, es posible:

- ver las llaves de seguridad registradas
- añadir nuevas llaves de seguridad
- renombrar una llave de seguridad existente
- eliminar llaves de seguridad que ya no se utilices

7. Errores comunes y soluciones

Aunque la integración de Nitrokey 3 con Joomla mediante WebAuthn suele funcionar sin problemas, existen ciertos errores habituales que pueden aparecer durante el registro o el inicio de sesión.
En esta sección se describen los fallos más frecuentes, sus causas y cómo solucionarlos.

7.1 “SecurityError: The operation is insecure”

Este es el error más común al intentar registrar o usar una llave FIDO2.

Causa: El sitio no está servido bajo HTTPS o el certificado SSL no es válido.

Solución:

- Asegúrate de que el dominio utiliza HTTPS.
- Verifica que el certificado SSL no está caducado.
- Evita contenido mixto (HTTP dentro de HTTPS).
- Comprueba que el navegador no muestra advertencias de seguridad.

7.2 “This site must be served over HTTPS”

Este mensaje aparece directamente desde el navegador.

Causa: WebAuthn no funciona en HTTP bajo ninguna circunstancia.

Solución:

- Habilitar HTTPS en el servidor.
- Instalar un certificado válido (Let’s Encrypt es suficiente).
- Redirigir automáticamente HTTP a HTTPS.

7.3 La ventana emergente de WebAuthn no aparece

Causas posibles:

- El navegador bloquea ventanas emergentes.
- Extensiones de seguridad interfieren.
- Políticas corporativas deshabilitan WebAuthn.
- El plugin WebAuthn no está habilitado en Joomla.

Solución:

- Permitir ventanas emergentes para el dominio.
- Desactivar temporalmente extensiones de seguridad.
- Probar en otro navegador.
- Revisar que el plugins WebAuthn está habilitado.

7.4 La Nitrokey 3 no parpadea

Causas posibles:

- La llave no está bien conectada.
- El puerto USB no responde.
- El navegador no detecta dispositivos FIDO2.
- La operación WebAuthn no se ha iniciado correctamente.

Solución:

- Desconectar y volver a conectar la Nitrokey 3.
- Probar otro puerto USB.
- Cerrar y abrir el navegador.
- Repetir el proceso desde el inicio.

7.5 Error de timeout (tiempo agotado)

Causa: El usuario tarda demasiado en tocar la llave o el navegador no recibe la señal a tiempo.

Solución:

- Repetir el proceso y tocar la llave en cuanto empiece a parpadear.
- Evitar usar hubs USB de baja calidad.

7.6 “NotAllowedError: The request is not allowed”

Causas posibles:

- Se ha cancelado la operación desde el navegador.
- Se ha cerrado la ventana emergente.
- Se ha intentado registrar una llave ya registrada.

Solución:

- Repetir el proceso desde el paso inicial.
- Comprobar si la llave ya aparece en la lista de claves registradas.

7.7 El navegador indica que la llave no es compatible

Causas posibles:

- Navegador desactualizado.
- WebAuthn deshabilitado por políticas.
- Uso de navegadores no compatibles (algunos móviles antiguos).

Solución:

- Actualizar el navegador.
- Probar con Chrome, Firefox, Edge o Chromium.
- Revisar políticas de seguridad si es un entorno corporativo.

7.8 La llave aparece registrada pero no permite iniciar sesión

Causas posibles:

- El usuario ha cambiado de dominio (por ejemplo, de prueba a producción).
- El ID no coincide con el dominio actual.
- La clave se registró en un subdominio distinto.

Solución:

- Eliminar la clave y registrarla de nuevo en el dominio correcto.
- Revisar la configuración del plugin WebAuthn.

7.9 Joomla no muestra la opción “Añadir clave de seguridad”

Causas posibles:

- El plugin WebAuthn no está habilitado.
- El usuario no tiene permisos suficientes.
- El sitio no está bajo HTTPS.

Solución:

- Activar el plugins WebAuthn.
- Usar un usuario con permisos de administrador.
- Verificar HTTPS.

Manuales publicados en este blog sobre Nitrokey 3, hasta ahora son:

1- Configurar Nitrokey 3 desde consola (nitropy)
2- Configurar Nitrokey 3 desde Nitrokey App 2 (GUI)
3- Joomla: Autenticación FIDO2 / WebAuthn con Nitrokey 3

Configurar Nitrokey 3 desde Nitrokey App 2 (GUI)

Nitrokey App 2

La Nitrokey App 2 es una aplicación gráfica (GUI) diseñada para gestionar los dispositivos Nitrokey 3A NFC, Nitrokey 3C NFC y Nitrokey 3 Mini.

Es una interfaz simple y es muy fácil de usar, para configurar y usar la Nitrokey 3:

- FIDO2 : Autenticación
- Passwords (TOTP/HOTP) : Códigos
- Firmware : Actualizaciones

En el momento de escribir este manual, los idiomas disponibles son: Inglés, alemán, francés, italiano, polaco y árabe (actualmente no se encuentra traducido a español). El cambio de idioma requiere reiniciar la aplicación.

1. Instalación de Nitrokey App 2 (GUI)

En este manual nos centraremos únicamente en el uso de la versión precompilada distribuida en formato binario, sin añadir repositorios, sin compilar código y sin instalar paquetes adicionales. Solo descargando el archivo de la aplicación Nitrokey App 2 desde el repositorio oficial de Nitrokey

Este método es el más sencillo, rápido y compatible con Debian 13 (Trixie) con escritorio KDE Plasma.

En Debian 13 (Trixie), no tienes que instalar ni configurar nada, para poder usarlo. Simplemente tenemos que descargar la aplicación desde el github oficial de nitrokey, darle permiso de ejecución y usar el programa.

1.1 Descargar Nitrokey App 2

La aplicación se descarga desde el repositorio oficial de Nitrokey en GitHub:

https://github.com/Nitrokey/nitrokey-app2/releases

En la sección Releases (versiones):

- Vamos a la última versión estable.
- Descargamos el archivo binario correspondiente a Linux, en este caso:

nitrokey-app-v2.6.0-x64-linux-binary

Guardamos el archivo en la carpeta descargas, en el escritorio o en nuestra carpeta personal

1.2 Dar permisos de ejecución

Como en este blog usamos kde plasma, desde Dolphin:

- Hacemos clic en el archivo descargado: nitrokey-app-v2.6.0-x64-linux-binary
- Nos aparecerá una ventana preguntándonos si confiamos en la aplicación. Pulsamos en: Aceptar
- Esperamos unos segundos y se abrirá el programa

O desde terminal:

chmod +x nitrokey-app-v2.6.0-x64-linux-binary

1.3 Crear un acceso directo (opcional) en el escritorio

- Clic derecho sobre un espacio vacío del escritorio, seleccionamos: Crear nuevo > Enlace a aplicación....

- En la ventana que nos aparece, hacemos clic en el icono del engranaje, para cambiarle el icono, y ponerle el logotipo de nitrokey.

Nota importante: El icono oficial de Nitrokey lo podemos descargar del mismo enlace de donde descargamos Nitrokey App 2 (https://github.com/Nitrokey/nitrokey-app2/releases) y ahora descargamos el archivo: código fuente en formato .zip o .tar.gz descomprimimos/desempaquetamos el archivo de código fuente en una carpeta, y en la siguiente ruta: nitrokey-app2-2.6.0/ci-scripts/linux/rpm/icons/hicolor/ se encuentran el logotipo oficial de nitrokey en formato .png o .svg, puedes elegir el que mas te interese.

Ahora pulsamos en el pestaña superior: Aplicación y rellenamos los siguientes dos campos:

- Nombre: Escribimos Nitrokey App 2

- Programa: Pulsamos en Examinar... y vamos a la carpeta donde hemos guardado nitrokey-app-v2.6.0-x64-linux-binary (seleccionamos dicho fichero) por último pulsamos en: Aceptar

y ya podemos ver el icono de Netrokey App 2 con la imagen oficial, en el escritorio de kde plasma de Debian 13 Trixie.

2. Información de cuando tenemos que tocar la Nitrokey 3

Nitrokey 3 requiere interacción física (tocar el sensor táctil) en determinadas operaciones, como FIDO2, TOTP/HOTP.
Si el usuario no toca el sensor dentro del tiempo esperado, la operación se cancela automáticamente.

El tiempo exacto de espera no está documentado oficialmente, ya que depende del tipo de operación, del cliente utilizado (navegador, Nitrokey App 2, nitropy, etc.) y de la versión del firmware.
En la práctica, el tiempo de espera suele ser de unos 15 segundos antes de que se produzca un timeout (tiempo excedido).

Cuando se requiera interacción física (tocar el sensor táctil), Nitrokey App 2 nos lo indica en dos sitios:

- En la columna de la izquierda, el identificador comienza parpadea
- En la columna de la derecha en parte inferior nos informa: Press your Nitrokey to confirm...

Ahora debemos tocar la Nitrokey 3 para confirmar y autorizar la operación.

3. Ejecutar Nitrokey App 2 por primera vez

Nos aseguramos de no tener conectada la llave nitrokey. Para que observemos y veamos las opciones de la pantalla principal de Nitrokey App 2

Nitrokey App 2 funciona de forma nativa en Debian 13 con KDE Plasma sin necesidad de:

- reglas udev
- paquetes adicionales
- repositorios externos
- compilación

Nota: En el momento de redactar este manual, la versión de Nitrokey App 2 es 2.6.0.
La aplicación solo puede gestionar un dispositivo a la vez. Aunque mostrará todas las Nitrokey conectadas, únicamente es posible administrar una unidad por operación.

La pantalla principal esta dividida en dos columnas, que he marcado con número 1 de color rojo y número 2 de color verde

- En la columna 1, nos encontraremos todas las nitrokeys que tengamos conectadas, la icono de la casita (que es para volver a esta pantalla principal) y el signo de interrogación que nos lleva al manual oficial de nitrokey: https://docs.nitrokey.com/nitrokeys/nitrokey3/

- En la columna 2, podemos ver la versión del programa, en el momento de escribir este manual es: 2.6.0, si hacemos clic en: Check for App Update, va a buscar en el github oficial de nitrokey, si existe alguna actualización.

- Si aparece: App is up to date, El programa esta actualizada a la ultima versión

- Si aparece: Update available, Existe una actualización, hacemos clic en el y nos lleva al github de Nitrokey para descargar la ultima versión del programa

- Intructiones and help, Nos lleva al manual oficial y de ayuda de Nitrokey 3

- Save Log File, Nos muestra los ficheros log para que revisar que ha pasado y porque ha dado error.

4. Configurar una Nitrokey 3

En esta pantalla solo podemos configurar una nitrokey, aunque nos muestra todas las Nitrokey 3 conectadas.

En esta pantalla, en la columna de la izquierda, podemos observar todas las Nitrokey 3 que están conectadas, y la Nitrokey 3 que estamos configurando (la activa) tiene un recuadro negro con los primeros 5 caracteres del UUID, así sabemos en todo momento cual estamos configurando (lo indico con una flecha roja).

En la columna de la derecha, podemos ver información relativa a la nitrokey que estamos configurando. En la parte inferior derecha nos informa cual es la Nitrokey 3 que estamos configurando, (la he señalado con un flecha roja) con los primeros 5 caracteres del UUID

- UUID: corresponde al número de serie de la Nitrokey 3

- Path: /dev/hidrawX, donde X es un número que depende del orden en que el kernel detecta los dispositivos. En Linux, los dispositivos HID (Human Interface Device), como teclados, ratones, llaves de seguridad, tabletas gráficas, etc. Se exponen a través de la interfaz hidraw.

- Version: v1.8.3: Indica la versión del firmware instalada en la Nitrokey 3.
Es útil para comprobar compatibilidad, detectar actualizaciones disponibles y verificar que el dispositivo está actualizado.

- Variant: LPC55: Indica el microcontrolador principal utilizado por la Nitrokey 3
En este caso:

-- LPC55 corresponde a la familia NXP LPC55Sxx
-- es un microcontrolador ARM Cortex‑M33
-- incluye características de seguridad avanzadas
-- es el corazón del dispositivo: ejecuta el firmware y gestiona todos los módulos (FIDO2, PIV, OpenPGP, TOTP, etc.)

- Init status: ok : Indica si el sistema de archivos interno de la nitrokey está correctamente inicializado.

- Check for Update: Para ver si existe una actualización del firmware, si hacemos clic, nos va a buscar la ultima versión y el se encargará de todo.

En este caso a detectado que esta en la ultima versión, ya actualizada.

En ingles: The version of the firmware image is the same as on the device.Do you want to continue anyway?

En español: La versión de la imagen del firmware es la misma que la del dispositivo. ¿Desea continuar de todos modos? Cancelar

Si pulsamos en: More options (mas opciones), nos muestra la opción: Update with local Firmware (instalación de forma local, sin necesitar internet). Esta opción la usaremos en pc que no están conectados a internet. Es decir descargamos el nuevo firmware y lo usamos en el pc que no tiene internet

5. Pestaña Settings (Configuración)

En esta pestaña configuraremos las contraseñas (PIN) de:

- FIDO2

- Passwords (TOTP/HOTP/HMAC)

5.1. Configurar FIDO2

FIDO2 es un estándar de autenticación, que permite el acceso seguro y sin contraseña a los servicios en línea. Utiliza criptografía de clave pública para proporcionar una autenticación sólida y proteger contra el pishing y otras amenazas de seguridad.

Por defecto la Nitrokey 3 no tiene contraseña, observamos:

- las versiones de los protocolos que soporta: U2F_V2, FIDO_2_0, FIDO_2_1
- Extensiones: creProtect, hmac-secret, thirdPartyPayment

Hacemos clic en Pin Change (Cambiar PIN)

Como no tiene contraseña nos sale en Current PIN: vacío, para ponerle una contraseña escribimos en New PIN (nuevo PIN) y volvemos a escribir el mismo PIN en Confirm New PIN (Confirmar Nuevo PIN)

una vez introducido pulsamos en: Save (grabar)

Una vez puesto la contraseña, pulsamos en FIDO2, y vemos como nos indica que tiene contraseña (PIN Set), y que el número de intentos antes de bloquear la Nitrokey 3 es de 8 intentos (PIN retries).

NOTA MUY IMPORTANTE: En caso de errar mas de 8 veces, y bloquear la Nitrokey 3, solo se puede desbloquear, reseteando el módulo FIDO2, usando la opción Factory Reset, pero se borran todos los servicios en los que esté dado de alta. Por eso es muy importante usar 2 ó 3 Nitrokey 3 para tener copias de seguridad

5.2. Configurar Passwords (TOTP/HOTP/HMAC)

En contraseñas se pueden almacenar y administrar varias credenciales y 2FA como OTP. Se admiten: nombres de usuario simples con contraseñas, HOTP, TOTP, ReverseHOTP y HMAC.

una vez introducido pulsamos en: Save (grabar)

Una vez puesto la contraseña, pulsamos en Passwords, y vemos como nos indica que tiene contraseña (PIN Set), y que el número de intentos antes de bloquear la Nitrokey 3 es de 8 intentos (PIN retries).

NOTA MUY IMPORTANTE: En caso de errar mas de 8 veces, y bloquear la Nitrokey 3, solo se puede desbloquear, reseteando el módulo Passwords, usando la opción Factory Reset, pero se borran todos los servicios en los que esté dado de alta. Por eso es muy importante usar 2 ó 3 Nitrokey 3 para tener copias de seguridad

6. Opciones de seguridad Passwords (TOTP/HOTP)

Nitrokey App 2 permite añadir segundo factor de autenticación (2FA) como TOTP, HOTP, dentro de la Nitrokey 3.

Al pulsar en la pestaña: Passwords, vemos los servicios 2FA (TOTP/HOTP) configurados, pero solo nos parece los que NO tienen contraseña. Como podemos observar el candado aparece abierto, esto significa que no lo hemos protegido con contraseña.

Si hacemos clic en un servicio, observamos como no pide contraseña, y podemos pulsar en OTP, se generará el código de acceso. Podemos Editar (Edit) la cuenta y guardar los cambios, si nos hiciera falta.

Si pulsamos en: ⊕Add podemos añadir mas servicios

6.1. Show Protected Passwords

🗹 Show Protected Passwords, controla si los servicios protegidos aparecen en la lista.

- Desactivado 🔓︎ (por defecto): Los servicios protegidos no se muestran hasta introducir la contraseña de Secrets.
- Activado 🔒︎: Todos los servicios se muestran, pero los protegidos siguen requiriendo autenticación para ver el código.

6.2. Require PIN

Si está activado, la aplicación solicitará el PIN de Secrets antes de generar el código TOTP/HOTP del servicio.
Es útil para proteger servicios sensibles, ya que evita que alguien con acceso al ordenador pueda generar códigos sin autorización.

6.3. Require Touch

Si está activado, será necesario tocar el sensor táctil de la Nitrokey 3 para generar el código.
Esto añade protección física contra automatización o accesos remotos.

6.4. Uso combinado

Activar Require PIN y Require Touch proporciona el nivel de seguridad más alto:

- Autenticación del usuario (PIN)
- Confirmación física (Touch)

Si ninguna opción está activada, el servicio funciona como un TOTP estándar sin protección adicional.

domingo, 26 de abril de 2026

Joomla: autenticación FIDO2 / WebAuthn con Nitrokey 3

Configurar Nitrokey 3 desde Nitrokey App 2 (GUI)

La Frase

Indice de contenido

Buscar en el blog

Manuales

Instalación y Configuración

Instalación y Configuración 2

Instalación y Configuración 3

mobian

Televisión

Des/Compresores de archivos

Programas

phpMyAdmin

Webmin

Redes Inalambricas

Raspberry Pi

Flash Player y Google Earth

Control de errores

Guadalinex - Apuntes -

Links interesantes

Blog optimizado para los navegadores:

Archivos del blog

usuariodebian.blogspot.com