Archives For Authy

Qualche giorno fa ti ho parlato di Duo, plugin di sicurezza per WordPress che ho scelto come erede e sostituto di Authy, a seguito della cessazione dello sviluppo di quest’ultimo. Oggi ti propongo qualche nuova riga di testo per raccontarti come modificare il comportamento di Duo affinché non permetta null’altro se non la notifica push e il codice generato randomicamente (offline) per darti la possibilità di superare la fase di autenticazione 2-Step.

Duo Security: modificare i metodi di autenticazione concessi 3

Se la tua password è corretta e approdi alla schermata successiva, Duo permette –tra l’altro– di far partire una chiamata verso il numero di telefono da te associato all’account, dettando il codice di autenticazione a voce. Questo però necessita di crediti telefonici che, volendo usufruire delle funzioni gratuite di Duo, vanno contro il principio stesso di gratuità.

Per aggirare l’ostacolo, accedi alla Dashbord di Duo, quindi naviga in ApplicationsWordPress (dove WordPress in realtà potrebbe corrispondere al nome che tu hai voluto dare alla tua installazione da proteggere) → Policy. Qui, in linea con la voce Application policy, potrai specificare una nuova policy che conterrà una modifica ai metodi di autenticazione, come suggerito nella documentazione ufficiale del prodotto all’indirizzo duo.com/docs/administration-settings#authentication-methods.

Puoi ignorare tutto e andare direttamente alla voce Authentication Methods (paragrafo Authentication), togliendo il segno di spunta dall’opzione Phone callback, come nell’immagine qui di seguito:

Duo Security: modificare i metodi di autenticazione concessi 1

Salvando la nuova policy (alla quale dovrai dare un nome, e io ti consiglio di fare in modo che tu possa capire immediatamente di cosa si tratta!), questa verrà applicata all’applicazione protetta, confermato subito a video se non è stato commesso errore alcuno:

Duo Security: modificare i metodi di autenticazione concessi

La modifica è quindi già operativa e potrai tu stesso verificarla provando a collegarti alla tua installazione WordPress (magari da una sessione anonima del browser, se sei già connesso e autenticato). Noterai che gli unici metodi di conferma dell’identità disponibili saranno la notifica push (Duo Push) e un Passcode generato dall’applicazione di Duo randomicamente, come sempre accaduto con Google Authenticator o Authy:

Duo Security: modificare i metodi di autenticazione concessi 2

A questo punto potrai dimenticarti dei crediti telefonici e goderti l’autenticazione a due fattori gratuita, con la tranquillità del bivio doppio disponibile e che -in qualche maniera- ti permetterà sempre di accedere al tuo blog (o qualsivoglia altra applicazione protetta da Duo).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Nel 2016 ti avevo parlato di come potessi rendere molto più semplice e comoda l’autenticazione in due fattori del tuo WordPress appoggiandoti al plugin ufficiale di Authy. Oggi, a distanza di meno di due anni da quel mio articolo, sono costretto a mettere tutto da parte perché Authy ha dichiarato (alcuni giorni fa) di aver abbandonato lo sviluppo del plugin, chiedendo ai suoi utilizzatori di smettere di utilizzarlo e passare a qualcosa di diverso, supportato e aggiornato.

WordPress: migrazione da Authy OneTouch a 2FAS

Il mea culpa è d’obbligo perché solo qualche fa ho rispolverato (solo proponendo la lettura) quel vecchio articolo, perché non mi ero accorto dell’annuncio ufficiale di Authy comparso su Medium, loro piattaforma di pubblicazione degli articoli che li riguardano.

View story at Medium.com

Mi sono messo quindi alla ricerca di una valida alternativa, ponendo il cuore in pace riguardo l’autenticazione con tocco singolo e l’icona personalizzata nell’applicazione per smartphone / tablet / PC che Authy ha sempre proposto. Per la prima c’è rimedio (anche se si tratta nuovamente di appoggiarsi a qualcosa di custom che un bel giorno potrebbe cessare di funzionare), per la seconda sembra meno, “echissefrega” dirai tu, cosa che vale anche per me, perché l’importante è ripristinare il secondo layer di sicurezza post-inserimento e conferma password dell’account.

Quali alternative esistono?

Una pagina del Codex di WordPress parla proprio di autenticazione a due fattori e, tra le varie, suggerisce anche alcune alternative disponibili tra i plugin che si possono cercare e installare sul proprio blog fuori da WordPress.com: codex.wordpress.org/Two_Step_Authentication#Plugins_for_Two-Step_Authentication. Mi preme segnalarti che anche Jetpack (il famoso plugin di Automattic) propone una sua autenticazione in due fattori, ma ti costringe a passare dal sistema di login di WordPress.com che io ho personalmente evitato (preferisco tenere i mondi separati).

Cosa resta quindi? Beh, di plugin fortunatamente ce ne sono davvero tantissimi, e le regole sono sempre le stesse. Ti posso consigliare in linea di massima tutto ciò che viene ancora mantenuto (quindi aggiornato costantemente), supportato (basta dare un’occhiata alle richieste di assistenza, anche sul repository di WordPress.org) e con molte installazioni all’attivo. Nonostante ci siano plugin assolutamente robusti e non più aggiornati, non posso mettere la mano sul fuoco e dirti che ci sia certezza piena che oggi questi siano ancora in linea con le misure di sicurezza necessarie per la tua tranquillità.

Questo è l’elenco proposto a oggi dal Codex, trovi il mio commento messo subito di fianco:

  • Authy: che ha dichiarato disfatta e termine dello sviluppo lo scorso 12 gennaio.
  • Duo: quello che sto attualmente utilizzando e che meglio ti spiegherò nella seconda parte di questo articolo.
  • Google Authenticator: ciò che ho utilizzato prima di passare al plugin di Authy, che però non riceve aggiornamento alcuno da circa un anno.
  • Rublon: ancora aggiornato, ma con recensioni ben poco lusinghiere in merito a malfunzionamenti e possibili punti di debolezza, considerando inoltre che si tratta di un plugin che permette di impostare il 2FA per un solo utente per installazione (stesso blog ma due autori? Puoi usarlo solo pagando), forse non la migliore opzione per un blog amatoriale senza fini di lucro.
  • WordFence: sicuramente aggiornato e supportato, ma fa ben più di ciò che serve a me e te in questo momento.

A questo elenco potrei aggiungere le due varianti di 2FAS che ho avuto occasione di mettere alla prova, plugin in versione Lite e Pro che offre alcune intelligenti possibilità e che permette l’autenticazione a due fattori basata su codice randomico (si continua quindi a usare Authy, nda). 2FAS permette inoltre di aggiungere una macchina fidata all’elenco di quelle che possono evitare la 2FA al login (Trusted), oppure utilizzare un codice di backup offline precedentemente generato, in caso di emergenza. Buona velocità di login post-riconoscimento e una possibile alternativa che però non ha moltissime installazioni, aggiornate (entrambe) nell’arco degli ultimi 10 mesi.

La mia scelta: DUO

Voce della lista Codex, Duo è un prodotto evidentemente dedicato al business che però strizza l’occhio anche alle installazioni più piccole, casalinghe, un po’ come questa che stai leggendo. Contrariamente ad altri prodotti, “tiene in casa” il mezzo di autenticazione, quindi si va oltre l’applicazione di Authy che hai già su iOS o Android, ma in cambio ti dà il clic singolo per autorizzare un login via notifica push (ciò che sostituisce il OneTouch di Authy, nda) e un più snello sistema di associazione al tuo account poiché con uno solo di questo (connesso alla tua casella di posta elettronica e al tuo device preferito), potrai confermare il collegamento a più prodotti, senza necessità di creare un QR per ciascun nuovo sito web / WordPress.

Setup

Installa il plugin all’interno del tuo WordPress e intanto vai a creare un nuovo account sul sito web ufficiale partendo da questo documento: duosecurity.com/docs/wordpress.

Duo Two-Factor Authentication
Duo Two-Factor Authentication

La creazione di un account nuovo sul sito di Duo richiederà che tu abbia a bordo del tuo smartphone l’applicazione dedicata (puoi anche farne a meno se decidi di utilizzare SMS o chiamata, ma sconsiglio entrambe le alternative, nda), puoi scaricarla partendo da questi badge (o cercarla manualmente nel tuo store di riferimento):

Duo Mobile
Duo Mobile
Price: Free
Duo Mobile
Duo Mobile
Developer: Duo Security
Price: Free

Una volta inserito il tuo numero di telefono e pochi altri dettagli che ti riguardano, avrai accesso alla console di amministrazione del servizio, dalla quale si potrà cominciare a iniziare la fase vera e propria di configurazione dell’autenticazione a due fattori. Naviga in Applications, quindi fai clic su Protect an Application. Inizia a scrivere WordPress, poi fai clic su Protect this Application in sua corrispondenza:

WordPress: migrazione da Authy OneTouch a Duo

Nella schermata che ti si caricherà, avrai già a disposizione i 3 dati fondamentali per collegare Duo al tuo blog (e relativo plugin): Integration key, Secret key e API hostname. Copia e riporta nella pagina del plugin sul tuo blog i 3 dettagli, imposta i livelli che dovranno sottostare all’autenticazione a due fattori (Enable for roles) e infine scegli se disabilitare il protocollo XML-RPC di WordPress (occhio, serve a Jetpack). Conferma il tutto con Save Changes.

A questo punto partirà la configurazione dell’account utente associato a quel blog (e ai successivi che faranno uso del plugin e saranno associati alla stessa console di amministrazione, nda). Inserisci i dettagli richiesti (non dovresti aver necessità di specificare null’altro rispetto a quanto già inserito precedentemente) e scansiona il nuovo codice QR generato per l’applicazione Duo, quindi conferma l’accesso tramite notifica push.

Salvo errori, sarai ora connesso al tuo blog e ti troverai in Dashboard, con possibilità di gestire nuovamente la tua creatura, nuovamente protetta dall’autenticazione a due fattori.

Cos’altro c’è da dire

WordPress: migrazione da Authy OneTouch a Duo 5

Duo è uno di quei prodotti parecchio strutturati, ricco di funzioni che probabilmente mai avrai necessità di utilizzare, ma è certamente interessante scoprire la console e ogni sua voce, esplorare, modificare, sperimentare. Io non mi voglio addentrare in alcuna di queste perché la maggior parte sono legate a un abbonamento di tipo Premium dal costo di 6$/mese/utente che ti viene dato in prova per 30 giorni, oltre i quali l’account verrà scalato a gratuito (perdendo quelle caratteristiche extra), utile per gestire l’autenticazione a due fattori di WordPress ma anche di altre applicazioni (ecco, di quelle possiamo anche parlarne in futuro, in un altro articolo magari).

WordPress: migrazione da Authy OneTouch a Duo 6

Una chicca però che rimarrà c’è ed è subito sfruttabile, è quella relativa all’access log, una panoramica su chi ha fatto accesso, da dove / quando / perché / “un fiorino” (irresistibile, dovevo scriverla). Puoi darci un’occhiata anche tu andando in ReportsAuthentication Log:

WordPress: migrazione da Authy OneTouch a Duo 7

Ricordati che una rapida panoramica (contenente inoltre una mappa del mondo per mostrare graficamente i punti di accesso) è sempre disponibile nella pagina principale della Dashboard (di Duo, nda).

In conclusione

Credo di aver detto praticamente tutto e averti trattenuto più del dovuto sull’articolo (grazie per essere arrivato a leggere fino a qui), ma ci tenevo a pubblicare ogni dettaglio utile per la tua migrazione a un nuovo alleato per la 2FA su WordPress. Probabilmente in futuro proverò altre soluzioni ma, almeno per il momento, questa è quella che ho reputato essere la migliore nel rapporto tra pro e contro, di certo –per quanto riguarda questi ultimi– mi mancherà il non poter approvare l’accesso direttamente dall’applicazione installata sul mio PC, ma poco male, il telefono è quasi sempre a portata di mano.

Fammi sapere nei commenti se tu hai usato altre alternative, sai bene che mi piace sempre confrontare ogni possibile soluzione.

Cheers.

Condividi l'articolo con i tuoi contatti:

In realtà la prima parte del lavoro l’ha fatta tutta Plesk e l’hosting su cui faccio girare il mio DokuWiki, lo ammetto. La seconda è invece pilotabile tramite estensione da installare, configurare e cominciare a utilizzare, modificando il metodo di login predefinito del software.

DokuWiki: HTTPS e autenticazione in due fattori

Plesk permette (se il modulo è installato e configurato) di utilizzare Let’s Encrypt per generare (e in seguito rinnovare automaticamente) un certificato per uno o più domini gestiti. Inoltre, per completare l’opera, può automaticamente forzare il redirect 301 verso ogni pagina in HTTPS così da evitare che qualche visitatore finisca ancora sotto HTTP (dalle impostazioni hosting di ciascun dominio / vhost). Spiegato in una sola immagine, il risultato è questo:

DokuWiki: HTTPS e autenticazione in due fattori 1

2FA (Autenticazione in due fattori)

Che poi è il succo dell’articolo promemoria nel caso in cui mi serva rifarlo successivamente a questa prima installazione. Il plugin si chiama authg2fa ed è disponibile nel repository ufficiale di DokuWiki all’indirizzo dokuwiki.org/plugin:authg2fa.

Lo puoi installare direttamente dal tuo Extension Manager, basta cercarlo con il nome che ti ho appena indicato. Lo troverai poi in dashboard (sotto gli Additional Plugins), per poter amministrare i token di ciascun utente registrato nel Wiki. Per poter ottenere il QR code da catturare con Authy (o qualsiasi altra applicazione compatibile) dovrai prima generare il Secret (pulsante Create new Secret, nda), quindi potrai selezionare “Show Secret/QR Code“:

DokuWiki: HTTPS e autenticazione in due fattori 2

Effettua la solita procedura per la registrazione di un nuovo accesso 2FA sulla tua applicazione preferita, quindi abbandona questa pagina e torna in dashboard, spostandoti in Configuration SettingsAuthentication, dove ti basterà modificare il metodo di autenticazione da quello attualmente utilizzato a authg2fa:

DokuWiki: HTTPS e autenticazione in due fattori 3

Scorri la pagina delle impostazioni fino in fondo, quindi salva la modifica appena operata, dovresti perdere la tua sessione e venire costretto a un nuovo login, stavolta specificando anche il codice di autenticazione doppia:

DokuWiki: HTTPS e autenticazione in due fattori 4

Inserisci i dati richiesti ed entra nuovamente in possesso del tuo utente e del tuo Wiki :-)

Ricorda: in caso di problemi, consulta la documentazione ufficiale del plugin disponibile su dokuwiki.org/plugin:authg2fa, ciò che puoi fare nell’immediato (nel caso in cui tu abbia rogne con l’autenticazione a due fattori) è tornare in “plain auth” modificando il file di configurazione di DokuWiki via FTP (/conf/local.php), modificando la stringa da $conf['authtype'] = 'authg2fa'; a $conf['authtype'] = 'authplain';.

Buon lavoro :-)

Condividi l'articolo con i tuoi contatti:

Sai già come funziona: Amazon è leader pressoché contrastato nelle vendite online da qualche anno a questa parte, e sta sempre più velocemente mangiandosi competitor che soffrono e incassano a fatica il duro colpo portato a segno dalla società di Jeff Bezos. Ciò che però negli anni non cambia è un metodo di incasso che lascia un pelo di spazio a possibili acquisti non esattamente desiderati.

Pensaci un attimo: se su Amazon utilizzi la tua carta di credito, avrai probabilmente notato la richiesta di dettagli (numero di carta, scadenza e codice CVV2) in occasione del primo acquisto con consegna presso un nuovo indirizzo. Se quell’indirizzo è stato già utilizzato e le informazioni carte già specificate, Amazon permette l’acquisto del bene senza passare dai meccanismi di protezione delle carte (penso a SecureCode di Mastercard o Verified by Visa). È quindi arrivato il momento di proteggere il proprio accesso ad Amazon, per evitare spiacevoli sorprese.

Sicurezza: la 2-step verification di Amazon

Non troppo pubblicizzata, l’autenticazione in due fattori è già disponibile per tutti su Amazon, e può essere pilotata anch’essa tramite Authy o equivalente (Google Authenticator, per esempio), basta andarla ad attivare tramite Impostazioni di sicurezza dell’account. Io ho eseguito la procedura da Amazon.com, ma è disponibile anche su Amazon.it, gli screenshot che ho catturato sono in inglese ma –mi ripeto– potrai seguire le istruzioni a video in lingua italiana se passerai dalla versione nostrana della vetrina e-commerce.

Detto ciò, partiamo (fai clic sulla prima immagine per aprire la galleria e seguire i passaggi uno dopo l’altro):

Al solito, ti propongo qui di seguito la lista passaggi riepilogata, se vuoi evitare di leggere le note sotto ogni immagine della galleria qui sopra:

  • Accedi alle impostazioni di sicurezza del tuo account (da amazon.it, seleziona Il mio account → Accesso e impostazioni di sicurezza), quindi fai clic su Modifica in corrispondenza di Impostazioni avanzate di sicurezza (qui il link diretto).
  • Inizia la procedura per abilitare l’autenticazione in due fattori, verrai guidato in un percorso che ti chiederà di utilizzare il tuo numero di telefono o un’applicazione di terza parte per generare i codici randomici. Se sceglierai di utilizzare l’applicazione, ti verrà richiesto di inquadrare il codice QR e inserire il codice generato.
  • A questo punto servirà un metodo di recupero in caso di emergenza. Io ho scelto un SMS inviato al mio numero di telefono. Arriva entro qualche istante e può essere facilmente confermato a video.
  • La procedura è ormai terminata. Potrai scegliere di non sottoporre il PC che stai utilizzando in questo momento all’autenticazione 2-Step. Fallo solo se si tratta di una postazione tua, senza alcun accesso condiviso (neanche in famiglia).

Da questo momento dovrai fornire un secondo codice di autenticazione nel momento in cui proverai a collegarti al tuo account Amazon da un altro dispositivo (PC / telefono / ecc.), non è come integrare il meccanismo di protezione della carta di credito, ma è già uno strato in più rispetto a quello proposto di default.


Immagine di copertina Maarten van den Heuvel on Unsplash
Condividi l'articolo con i tuoi contatti:

Lo scorso 30 giugno Authy (fai clic qui se non sai di cosa sto parlando) ha annunciato la disponibilità di una prima versione beta del suo client per PC Windows e macOS:

View story at Medium.com

Dopo anni passati tra smartphone (o tablet) e la sola estensione per Google Chrome, sembra che finalmente si sia arrivati a un’intenzione concreta, per portare l’autenticazione a due fattori più vicino a ciò che spesso la richiede, un PC. Ci si autentica al servizio desiderato e si ottiene il codice direttamente con un ALT + TAB (Windows, ovviamente, su macOS ⌘⇥), il tutto risparmiando preziosi secondi ed escludendo l’ingaggio di uno smartphone che spesso si vorrebbe lasciare in tasca, o nel cassetto della scrivania.

Il pacchetto di installazione si scarica dal sito web ufficiale e Authy invita gli utilizzatori a inviare ogni feedback all’indirizzo di posta elettronica beta@authy.com, per permettere agli sviluppatori di correggere rapidamente errori e sviste, ma anche di introdurre quanto prima tutte le funzioni già disponibili sul ben più stabile e ricco client per Android e iOS.

La funzione di OneTouch Authentication, che è una tra le cose più interessanti e comode dell’applicazione Mobile, arriverà anche su questa beta PC / macOS di Authy, insieme alla versione del programma per i sistemi Linux. Ciò che nel frattempo puoi già fare e che consiglio caldamente, è proteggere (ulteriormente) i tuoi accessi 2-Step tramite codice di sblocco del nuovo software beta (la Master Password, stesso concetto messo in atto sul software mobile).

In attesa che vengano rilasciate nuove versioni di Authy PC (da capire se riuscirà questa ad aggiornarsi in autonomia o se sarà necessario scaricare e installare manualmente un nuovo pacchetto prendendolo dal sito web dell’azienda), a te non resta che tenerti una copia installata sul tuo smartphone e mettere in funzione anche la versione PC, così da avere sempre a portata di mano i tuoi codici di autenticazione randomici.

Authy
Authy
Developer: Authy Inc.
Price: Free
Authy 2-Factor Authentication
Authy 2-Factor Authentication
Developer: Authy
Price: Free

esc.

Condividi l'articolo con i tuoi contatti: