Site icon Gioxx.org

WordPress: migrazione da Authy OneTouch a Duo

WordPress Security: migrazione da Authy OneTouch a Duo

Nel 2016 ti avevo parlato di come potessi rendere molto più semplice e comoda l’autenticazione in due fattori del tuo WordPress appoggiandoti al plugin ufficiale di Authy. Oggi, a distanza di meno di due anni da quel mio articolo, sono costretto a mettere tutto da parte perché Authy ha dichiarato (alcuni giorni fa) di aver abbandonato lo sviluppo del plugin, chiedendo ai suoi utilizzatori di smettere di utilizzarlo e passare a qualcosa di diverso, supportato e aggiornato.

Il mea culpa è d’obbligo perché solo qualche fa ho rispolverato (solo proponendo la lettura) quel vecchio articolo, perché non mi ero accorto dell’annuncio ufficiale di Authy comparso su Medium, loro piattaforma di pubblicazione degli articoli che li riguardano.

https://medium.com/@Authy/deprecating-authy-for-wordpress-dad26df52451

Mi sono messo quindi alla ricerca di una valida alternativa, ponendo il cuore in pace riguardo l’autenticazione con tocco singolo e l’icona personalizzata nell’applicazione per smartphone / tablet / PC che Authy ha sempre proposto. Per la prima c’è rimedio (anche se si tratta nuovamente di appoggiarsi a qualcosa di custom che un bel giorno potrebbe cessare di funzionare), per la seconda sembra meno, “echissefrega” dirai tu, cosa che vale anche per me, perché l’importante è ripristinare il secondo layer di sicurezza post-inserimento e conferma password dell’account.

Quali alternative esistono?

Una pagina del Codex di WordPress parla proprio di autenticazione a due fattori e, tra le varie, suggerisce anche alcune alternative disponibili tra i plugin che si possono cercare e installare sul proprio blog fuori da WordPress.com: codex.wordpress.org/Two_Step_Authentication#Plugins_for_Two-Step_Authentication. Mi preme segnalarti che anche Jetpack (il famoso plugin di Automattic) propone una sua autenticazione in due fattori, ma ti costringe a passare dal sistema di login di WordPress.com che io ho personalmente evitato (preferisco tenere i mondi separati).

Cosa resta quindi? Beh, di plugin fortunatamente ce ne sono davvero tantissimi, e le regole sono sempre le stesse. Ti posso consigliare in linea di massima tutto ciò che viene ancora mantenuto (quindi aggiornato costantemente), supportato (basta dare un’occhiata alle richieste di assistenza, anche sul repository di WordPress.org) e con molte installazioni all’attivo. Nonostante ci siano plugin assolutamente robusti e non più aggiornati, non posso mettere la mano sul fuoco e dirti che ci sia certezza piena che oggi questi siano ancora in linea con le misure di sicurezza necessarie per la tua tranquillità.

Questo è l’elenco proposto a oggi dal Codex, trovi il mio commento messo subito di fianco:

A questo elenco potrei aggiungere le due varianti di 2FAS che ho avuto occasione di mettere alla prova, plugin in versione Lite e Pro che offre alcune intelligenti possibilità e che permette l’autenticazione a due fattori basata su codice randomico (si continua quindi a usare Authy, nda). 2FAS permette inoltre di aggiungere una macchina fidata all’elenco di quelle che possono evitare la 2FA al login (Trusted), oppure utilizzare un codice di backup offline precedentemente generato, in caso di emergenza. Buona velocità di login post-riconoscimento e una possibile alternativa che però non ha moltissime installazioni, aggiornate (entrambe) nell’arco degli ultimi 10 mesi.

La mia scelta: DUO

Voce della lista Codex, Duo è un prodotto evidentemente dedicato al business che però strizza l’occhio anche alle installazioni più piccole, casalinghe, un po’ come questa che stai leggendo. Contrariamente ad altri prodotti, “tiene in casa” il mezzo di autenticazione, quindi si va oltre l’applicazione di Authy che hai già su iOS o Android, ma in cambio ti dà il clic singolo per autorizzare un login via notifica push (ciò che sostituisce il OneTouch di Authy, nda) e un più snello sistema di associazione al tuo account poiché con uno solo di questo (connesso alla tua casella di posta elettronica e al tuo device preferito), potrai confermare il collegamento a più prodotti, senza necessità di creare un QR per ciascun nuovo sito web / WordPress.

Setup

Installa il plugin all’interno del tuo WordPress e intanto vai a creare un nuovo account sul sito web ufficiale partendo da questo documento: duosecurity.com/docs/wordpress.

La creazione di un account nuovo sul sito di Duo richiederà che tu abbia a bordo del tuo smartphone l’applicazione dedicata (puoi anche farne a meno se decidi di utilizzare SMS o chiamata, ma sconsiglio entrambe le alternative, nda), puoi scaricarla partendo da questi badge (o cercarla manualmente nel tuo store di riferimento):

Developer: Duo Security LLC
Price: Free
Developer: Duo Security LLC
Price: Free

Una volta inserito il tuo numero di telefono e pochi altri dettagli che ti riguardano, avrai accesso alla console di amministrazione del servizio, dalla quale si potrà cominciare a iniziare la fase vera e propria di configurazione dell’autenticazione a due fattori. Naviga in Applications, quindi fai clic su Protect an Application. Inizia a scrivere WordPress, poi fai clic su Protect this Application in sua corrispondenza:

Nella schermata che ti si caricherà, avrai già a disposizione i 3 dati fondamentali per collegare Duo al tuo blog (e relativo plugin): Integration key, Secret key e API hostname. Copia e riporta nella pagina del plugin sul tuo blog i 3 dettagli, imposta i livelli che dovranno sottostare all’autenticazione a due fattori (Enable for roles) e infine scegli se disabilitare il protocollo XML-RPC di WordPress (occhio, serve a Jetpack). Conferma il tutto con Save Changes.

A questo punto partirà la configurazione dell’account utente associato a quel blog (e ai successivi che faranno uso del plugin e saranno associati alla stessa console di amministrazione, nda). Inserisci i dettagli richiesti (non dovresti aver necessità di specificare null’altro rispetto a quanto già inserito precedentemente) e scansiona il nuovo codice QR generato per l’applicazione Duo, quindi conferma l’accesso tramite notifica push.

Salvo errori, sarai ora connesso al tuo blog e ti troverai in Dashboard, con possibilità di gestire nuovamente la tua creatura, nuovamente protetta dall’autenticazione a due fattori.

Cos’altro c’è da dire

Duo è uno di quei prodotti parecchio strutturati, ricco di funzioni che probabilmente mai avrai necessità di utilizzare, ma è certamente interessante scoprire la console e ogni sua voce, esplorare, modificare, sperimentare. Io non mi voglio addentrare in alcuna di queste perché la maggior parte sono legate a un abbonamento di tipo Premium dal costo di 6$/mese/utente che ti viene dato in prova per 30 giorni, oltre i quali l’account verrà scalato a gratuito (perdendo quelle caratteristiche extra), utile per gestire l’autenticazione a due fattori di WordPress ma anche di altre applicazioni (ecco, di quelle possiamo anche parlarne in futuro, in un altro articolo magari).

Una chicca però che rimarrà c’è ed è subito sfruttabile, è quella relativa all’access log, una panoramica su chi ha fatto accesso, da dove / quando / perché / “un fiorino” (irresistibile, dovevo scriverla). Puoi darci un’occhiata anche tu andando in ReportsAuthentication Log:

Ricordati che una rapida panoramica (contenente inoltre una mappa del mondo per mostrare graficamente i punti di accesso) è sempre disponibile nella pagina principale della Dashboard (di Duo, nda).

In conclusione

Credo di aver detto praticamente tutto e averti trattenuto più del dovuto sull’articolo (grazie per essere arrivato a leggere fino a qui), ma ci tenevo a pubblicare ogni dettaglio utile per la tua migrazione a un nuovo alleato per la 2FA su WordPress. Probabilmente in futuro proverò altre soluzioni ma, almeno per il momento, questa è quella che ho reputato essere la migliore nel rapporto tra pro e contro, di certo –per quanto riguarda questi ultimi– mi mancherà il non poter approvare l’accesso direttamente dall’applicazione installata sul mio PC, ma poco male, il telefono è quasi sempre a portata di mano.

Fammi sapere nei commenti se tu hai usato altre alternative, sai bene che mi piace sempre confrontare ogni possibile soluzione.

Cheers.

Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti:
Exit mobile version