Mejoras de seguridad en Odoo: login & passwords
Gestione, configure y administre una autenticación más completa para usted y sus usuarios
23 abril, 2020 por
Mejoras de seguridad en Odoo: login & passwords
Valentín Vinagre Urteaga


La seguridad es un aspecto principal en cualquier sistema informático y más cuando se utiliza un sistema con acceso por navegador web (el cual se debe de tener siempre actualizado). Uno de los problemas más comunes es la seguridad relacionada con la realización de la comprobación con las credenciales de autenticación. A continuación, vamos a repasar lo que Odoo nos brinda y después veremos cómo podemos complementar esta seguridad, según las necesidades que queramos cubrir. 


Security by Odoo


Odoo realiza una encriptación de contraseñas de usuario siguiendo un estándar habitual en la industria: PBKDF2+SHA512. Una vez se realiza esta encriptación el usuario no es capaz de volver a visualizarla ni de acceder a ella, por lo tanto, si el usuario no puede acceder, la única opción es restablecerla. Las credenciales de conexión se transmitirán siempre por HTTPS en caso de que esté activado en nuestro web/proxy inverso (la configuración es este es vital para una buena seguridad).

Desde la versión 12.0, Odoo ha incorporado un límite de accesos erroneos y un tiempo de espera pasados ciertos intentos. Estos se pueden configurar desde el siguiente archivo.

Odoo por defecto unicamente permite establecer una longitud mínima. Se basa en el siguiente paper para fortalecer esta decisión.

Odoo • Text and Image
Oca • Image and Text

Odoo Community Association (OCA)


La Odoo Community Association (OCA), es una organización sin ánimo de lucro cuya misión es promover el uso generalizado de Odoo y apoyar el desarrollo colaborativo de las características de Odoo.

La Asociación brinda apoyo financiero, organizacional y legal a la comunidad más amplia de código abierto de Odoo. También sirve como una entidad legal independiente a la que los miembros de la comunidad pueden aportar código, la financiación y otros recursos con el conocimiento de que sus contribuciones se mantendrán para beneficio público.


Módulos que se centran en la seguridad de la autenticación y la gestión de contraseñas

Auth user case insensitive

 
 Permite que el sistema no distinga entre mayusculas de minúsculas en el login, este módulo evita errores en los logins de usuarios.


Auth session timeout

 
 En ciertos casos, es necesario que una sesión no esté abierta más de cierto tiempo, por seguridad y/o renovación de contraseña, por defecto Odoo nos mantiene la sesión iniciada hasta que las cookies de sesión son eliminadas, este módulo nos permite definir un periodo de tiempo de duración de una sesión.

Auth admin passkey


Como administradores de sistema debemos acceder con cuentas de usuarios para verificar ciertas casuísticas. Para ello normalmente se suele cambiar la contraseña de usuario y realizar un nuevo cambio de contraseña para el usuario cuando todo ha finalizado. Con este módulo podremos realizar un login con cualquier cuenta con la contraseña de passkey, además podremos configurarlo para que cuando pase esto se envíe un e-mail al usuario para avisarle. 

Auth signup verify email


Al realizar un registro desde la website, Odoo por defecto le pide al usuario ingresar su login y su contraseña. Esto puede dar motivo a fallos.

Utilizando este módulo no se le pide una contraseña al usuario, debido a que se le envía un correo para verificar la cuenta y al entrar en el link se realiza el establecimiento de la contraseña. Esto por supuesto necesita de una dirección real.

Auth oauth multi token


Con Odoo podemos activar la opción de registro mediante un servicio de Oauth (Google, Facebook, etc) pero este tiene una limitación de un token por cuenta. Mediante este módulo podemos realizar el mismo login desde diferentes servicios (por defecto 10) .

Base user show email


Este módulo en concreto no ofrece un cambio en la seguridad pero sí es interesante para separar el campo del login y correo electrónico en la ficha del usuario, que alguna vez puede llegar a ser confuso.

Auth u2f


Muchas veces una contraseña puede ser facilmente obtenible (no entraremos en debate), por lo que desde hace años se creó la autenticación de 2 factores. Esta es realmente útil debido a que una vez agregada la contraseña nos pedirá un código de autenticación volátil. El inconveniente es que se necesita un hardware específico para funcionar.

Auth totp


La idea es similar al auth_u2f, en cambio su solución la lleva a utilizar MFA utilizando TOTP (time-base, one-time passwords), lo que no necesita un hardware dedicado para funcionar.


Auth ldaps


 Es común en empresas con muchos empleados tener un servidor LDAP. Gracias a este módulo, se podrá realizar una comunicación mediante SSL y poder realizar autenticaciones.



Access restriction by ip


 En ocasiones tenemos trabajadores realizando teletrabajo y queremos asegurarnos que desde donde se conectan es desde un sitio fijo con una IP establecida. Para ello podemos utilizar este módulo. En cierta manera, también se pueden controlar estos accesos mediante configuración de nuestro web/proxy inverso.
Este módulo ha sido desarrollado por la compañía Cybrosys Technologies.

Password security


 Este módulo nos da la posibilidad de poder parametrizar distintos aspectos en las contraseñas de Odoo. Es muy util aconsejable debido a que refuerza la seguridad en la utilización de estas, por ej:
obligación de carácteres especiales,  expiración de la contraseña actual, no podemos utilizar contraseñas antiguas, etc

Como su implantador de confianza, SYGEL apuesta por la seguridad y ayudar a sus clientes a conseguir las máximas prioridades sobre estas. Gracias a Odoo y OCA se consigue cada vez un entorno más fiable.