Archives For Authy

Il titolo è volutamente simile a quanto già scritto poco tempo fa, e vuole analizzare alcuni consigli che anche io cerco di dare a chiunque si mette a preparare una nuova installazione WordPress (spero prima per sé, poi forse –con buona esperienza sulle spalle– anche per altri), anche se in realtà i concetti di base valgono per qualsiasi accesso a qualunque servizio disponibile sulla grande rete. Basandomi sul blog di chi iThemes Security lo scrive, riporto alcuni passaggi secondo me fondamentali.

WordPress e Authy: autenticazione OneTouch 6

According to this infographic by WP Template on WordPress safety, insecure WordPress themes and plugins contribute to over 50% of all successful WordPress hacks.

Plugins and themes have to go through a screening process before they are released for public use from the WordPress.org plugin repository, so it is important to download your plugins and themes from trustworthy sources and always keep active themes and plugins update to the latest version.

fonte: ithemes.com/2016/11/08/wordpress-hacks

e ancora:

Using the same password on multiple sites is risky.

Using strong passwords for all your logins is one of the best online security practices you can develop.

The best practice to follow is creating a different password for every sing website you are registered on. Definitely don’t use the password you use for your bank account on another site.

An average of 30,000 sites are hacked every day.
This should give you an idea of how many people are affected by cyber attacks, and motivate you to use stronger passwords.

fonte: ithemes.com/2016/11/04/brute-force-attacks

Che poi non è che proprio ci voglia la scala eh. Strumenti come KeePass o simili (anche quelli completamente in cloud) sono fatti apposta per ricordarti password altrimenti (probabilmente) molto difficili da ricordare, soprattutto quando decidi di lasciare fare loro nella fase di generazione di una nuova password complessa. Vale anche il vecchio (ma ancora perfetto) consiglio del “utilizza password apparentemente stupide“, perché ti assicuro che “Il cavallo bianco di Napoleone!” può essere una password certamente più complessa della targa della tua automobile (puoi provare tu stesso su passwordmeter.com, tanto per levarti la curiosità).

Sulla base di ciò, è semplice stilare una ToDo List da tenere sempre bene a mente:

  • Sempre tenere aggiornato il tuo WordPress. Questo vale per il motore principale del CMS, ma anche (soprattutto, in realtà) plugin, temi e codice personalizzato che potresti aver scritto e poi dimenticato lì dopo poco, offrendo una possibile backdoor poco simpatica. Se il server che lo ospita è controllato da te, occorre tenere aggiornato ciò che gli permette di stare online (server web, MySQL, PHP, ecc.).
  • Disinstallare sempre plugin e temi non più utilizzati. Perché qui non si tratta solo di pulizia (sicuramente necessaria per tenere sempre snella l’installazione), ma perché così si vanno a chiudere possibili ulteriori falle, esattamente come da ragionamento del precedente punto della lista.
  • Utilizzare password complesse per ciascun account, possibilmente. Perché se è vero che il tuo blog è aperto alle iscrizioni (e si basa così sul buon senso dei tuoi utenti), è -spero- anche vero che tu possa stabilire delle regole precise per le password di coloro che possono pubblicare qualcosa, o peggio che possono modificare il comportamento del blog intero (un amministratore, tanto per essere chiari).
  • Abilitare l’autenticazione in due fattori per WordPress. E qui ti rimando all’articolo dedicato ad Authy e alla sua possibile integrazione con WordPress, comoda, funzionale, sicura.
  • Cancellare o declassare l’account “admin” predefinito di WordPress. Detto e stradetto, anche nel mio precedente articolo sulla protezione degli accessi alla Dashboard amministrativa, perché quell’utente creato di default nel database, è sempre scomodo e attaccabile (perché è quello che si da per scontato che esista).
  • Scegliere un buon hosting provider per il proprio CMS. Perché la sicurezza comincia dalle fondamenta, e affidarsi a chiunque non è –probabilmente– la migliore scelta, almeno per come la vedo io (e non solo). Un buon partner (perché di questo si tratta, nda) è quello che è sempre attento e pronto ad affrontare una difficoltà, a suggerirti le prossime mosse da fare, a bloccare chi è sgradito prima che faccia danni (più di quanti ne abbia già fatti entrando nel tuo sistema), e che ci tiene alla salvaguardia dei tuoi dati ma anche di coloro che abitano nel tuo stesso “condominio” (quando si parla di hosting condiviso, molto diffuso e primo step per tutti).
  • Scarica plugin e temi solo da fonti sicure. Evita come la peste siti web che promettono di regalarti il tema all’ultimo grido, creati con ore di sudato lavoro e ricchi di plugin solitamente a pagamento, pacchetti “all-in-one” appositamente clonati da siti web che li vendono e supportano quotidianamente. Spesso quei temi contengono codice malevolo, codificato (quindi di difficile decodifica per chi è alle prime armi), da qui in poi è tutto un salto nel buio. Se pensi che un tema sia assolutamente irresistibile, valuta l’acquisto della sua licenza, otterrai così anche un aiuto qualificato in caso di problemi, certamente meno costoso di qualcuno in grado di rimetterti in piedi dopo un deface (o simile) ai danni del tuo sito web.

Hai altri consigli? Vuoi raccontare la tua esperienza e dare qualche suggerimento in merito? L’area commenti –manco a dirlo– è a tua completa disposizione :-)

Probabilmente era solo questione di tempo, la speranza che ci fosse dietro qualcuno a gonfiare la cosa più del dovuto, magari per farsi notare nella community e ottenere quei 15 minuti di notorietà. E invece no. Il leak delle credenziali Dropbox datato 2012 e quasi passato inosservato per molti (non per tutti, rilanciato anche da molte testate e siti web, nda) sembra essere reale e funzionante.

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate

In questi giorni arrivano mail da Dropbox che invitano a cambiare la propria password di accesso solo per “prevenire possibili attacchi“, in realtà c’è chi ha messo le mani su quanto sottratto 4 anni fa, ottenendo “buoni” (si fa per dire) risultati, dimostrando come siano ben visibili le coppie di credenziali (username e password) all’interno dei file recuperati. Consiglio caldamente la lettura dell’articolo di Troy Hunt in merito, disponibile all’indirizzo troyhunt.com/the-dropbox-hack-is-real. Con pochi passaggi ha mostrato come le credenziali per l’accesso all’account Drpobox della moglie fossero alla mercé di tutti (quelli coloro hanno copia degli accessi sottratti, nda), nonostante la password fosse stata creata in maniera robusta e difficilmente “calcolabile o intuibile“.

Il suo progetto, HIBP (Have I been pwned? Qui maggiori informazioni) raccoglie 68.648.009 account di Dropbox potenzialmente compromessi, immediatamente ricercabili. Io ho già trovato uno dei miei account Dropbox, risulta facente parte dell’elenco sottratto all’azienda, ma avevo cambiato password e abilitato l’autenticazione in due fattori già all’epoca dell’attacco (nel frattempo ho anche modificato la mail di accesso), non ho mai riscontrato problemi in seguito (furto di dati, cancellazioni o simili).

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate 1

Tu puoi fare la stessa cosa. Di certo devi andare a verificare che il tuo indirizzo di posta non faccia parte di quell’elenco (e potenzialmente anche di altro), quindi cambiare la tua password e abilitare l’accesso 2-Step come già spiegato in questo mio vecchio articolo (scritto proprio dopo quell’attacco del 2012):

Sicurezza: la 2-step verification di Dropbox

Prima di concludere: ricorda di iscrivere ogni tuo indirizzo di posta elettronica, utilizzato per registrarti a servizi di terze parti, al sito di Troy (da qui: haveibeenpwned.com/NotifyMe), così da ricevere tempestivamente un avviso nel caso in cui il tuo account venga sottratto da qualche database senza che tu ne sappia alcunché, così da reagire immediatamente all’attacco e cambiare la tua password. Ricorda: evita di utilizzare la stessa password per più servizi, ti esponi a maggiore facilità di penetrazione. Utilizza sempre una password facile da ricordare (per te) ma difficile da intuire (sembra un gioco di parole, ti assicuro che non vuole esserlo). È buona norma raggiungere o superare gli 8 caratteri alfanumerici includendo possibilmente una maiuscola e un segno di punteggiatura o altro simbolo, in alcuni casi viene accettato anche lo spazio.

Giusto per capirci: lo sai che “Il cavallo bianco di Napoleone :-)” è una password più complessa di “L0h4ck3r2o16.!!” o altre simili inventate sul momento, pensando che così nessuno possa trovarle? L’apparenza inganna spesso. Utilizza un buon programma per generare e salvare le tue password (1Password, KeePass e simili), cerca di averne una per ciascun servizio utilizzato, proteggi il più possibile i tuoi accessi con la 2 Factor Authentication.

Estote parati (citando il buon Matteo).

Ho da poco scelto di sostituire un compagno fedele che per anni ha protetto l’accesso a questo blog (e non solo questo), chiedendomi sempre un codice di autenticazione insieme alla password del mio account. Sai già quanto ho spesso parlato in passato di autenticazione in due passaggi e quanto è importante per proteggere l’accesso ai servizi che utilizzi.

WordPress: suggerimenti sulla gestione delle immagini 3

Il tuo blog WordPress non fa certo eccezione, per anni (in concomitanza con l’attivazione 2-Step per il mio account principale Google, da poco rinnovata) ho utilizzato (e mi sono trovato bene) il plugin gratuito Google Authenticator:

Google Authenticator
Google Authenticator
Developer: Henrik Schack
Price: Free

Una rapida configurazione per ciascun account utente, procedendo in autonomia tramite area personale (quella con tutti i dettagli dell’account WordPress) ed ecco servito il campo Authenticator come obbligatorio per poter procedere, la migliore condizione è quella nella quale non si prevede una password per accesso applicativo (per esempio per utilizzare il blog dall’applicazione WordPress per iOS o Android) così da evitare ulteriori rischi. Perché quindi ho scelto di cambiare? Maggiore comodità e standardizzazione riferita all’utilizzo di Authy, applicazione che permette di generare codici di autenticazione 2-Step della quale ti ho già parlato in passato. È proprio suo il plugin in uso adesso, che permette tra l’altro di sfruttare un’autenticazione “OneTouch” estremamente comoda e simile a quella pensata e realizzata da Google.

Il plugin di Authy: configurazione e test

Installa e attiva il plugin di Authy, lo trovi (come al solito) nell’area pubblica su WordPress.org (raggiungibile quindi anche da Dashboard):

Authy Two Factor Authentication
Authy Two Factor Authentication

Ora, per poter utilizzare il plugin, dovrai fornire una chiave API (gratuita) che dovrai generare dal sito web del produttore, all’indirizzo authy.com/signup (ti confermo che occorrerà creare un account Twilio per generare l’API Key di Authy, giusto per tua sicurezza). Grazie all’account appena registrato, potrai poi fare accesso anche a dashboard.authy.com, sito web dal quale gestire l’applicazione appena generata (e attraverso la quale hai ottenuto la chiave API per configurare il plugin nel tuo blog) e crearne di nuove senza ovviamente dover registrare ogni volta un nuovo account.

Copia la chiave API, torna su WordPress e incollala nel campo Authy Production API Key delle impostazioni del plugin:

WordPress e Authy: autenticazione OneTouch 4

Assicurati di aver abilitato la possibilità di autenticarsi in due fattori per le categorie di utenti che desideri (nel mio caso le ho selezionate tutte) e di rendere obbligatorio il doppio fattore (l’opzione avrà validità solo per chi poi andrà ad abilitare l’autenticazione in due fattori nel proprio profilo del blog), quindi fai clic su Save Changes per confermare.

Il plugin, se nulla è andato storto, sta già facendo il suo lavoro e permette già un’autenticazione in due passaggi. Per poterlo verificare, ti basterà andare nel tuo profilo sul blog, quindi scorrere la schermata e andare ad abilitare la Two-Factor Authentication, come in immagine:

WordPress e Authy: autenticazione OneTouch

Questo farà partire la procedura di verifica, la quale richiederà anche il tuo numero di telefono (ti verrà inviato un codice via SMS per confermare la tua identità). Una volta immesso il codice ricevuto, l’autenticazione in due fattori sarà finalmente attiva.

Prova a disconnetterti dal blog. Ricollegati subito dopo, dovresti poter vedere il solito blocco di richiesta username e password. Una volta superata la prima autenticazione, ti troverai davanti alla necessità di inserire il codice 2-Step generato da Authy. Se inserendolo e confermando il login passi questo ulteriore controllo, vorrà dire che hai portato a termine il tuo lavoro in maniera corretta :-)

(Se non hai passato il controllo e non riesci più ad accedere alla tua Dashboard, puoi sempre andare a cancellare o rinominare la cartella del plugin via FTP, questo basterà ad eliminare l’ostacolo e permetterti di autenticarti come amministratore nuovamente, per andare a verificare cosa è andato storto).

OneTouch

Non mi sono dimenticato. Ho scelto di parlarti di OneTouch in un paragrafo separato perché si tratta di qualcosa in più rispetto al funzionamento base di Authy. OneTouch permette infatti di autorizzare l’accesso al proprio blog con un semplice clic, una volta aperta l’applicazione sul proprio smartphone. Ciò non implica il fatto di dover escludere l’autorizzazione 2-Step con codice generato randomicamente, è semplicemente un diverso tipo di “ultima autorizzazione” e sarà sempre possibile scegliere di utilizzare ancora il codice numerico.

Per attivare OneTouch, ti basterà tornare nelle opzioni del plugin di Authy e abilitare la funzione che si trova nella parte finale della pagina delle opzioni. Verrai così collegato alla Dashboard del prodotto (quella di cui ti ho parlato prima) dove confermerai l’attivazione del servizio, che verrà così messo a disposizione delle categorie di utenti da te selezionati.

Salvo errori, potrai ora disconnetterti e riconnetterti al tuo blog per verificare il funzionamento della modifica. Una volta autenticato con username e password, dovresti poter arrivare a una schermata molto simile a questa:

WordPress e Authy: autenticazione OneTouch 3

Dovrai ora aprire l’applicazione di Authy sul tuo smartphone e confermare che si tratta di una tua richiesta di accesso. Per comodità, ti propongo qui di seguito i collegamenti rapidi al download dell’app su iTunes Store e Play Store.

Authy
Authy
Developer: Authy Inc.
Price: Free
Authy 2-Factor Authentication
Authy 2-Factor Authentication
Developer: Authy
Price: Free

La schermata che vedrai, dovrebbe essere molto simile a questa:

WordPress e Authy: autenticazione OneTouch 5

Da questa potrai approvare il tuo accesso. Dopo un paio di secondi circa, il blog ti lascerà passare e accedere così alla Dashboard amministrativa, senza la necessità di inserire un ulteriore codice random :-)

Comodo, facile, veloce da implementare, ti assicuro che è stato forse più difficile parlarne che mettere il tutto in pratica.

Importante novità da parte di Google, si torna a parlare di autenticazione a due fattori e lo si fa in una maniera nettamente più semplice rispetto all’inserimento del codice temporaneo generato dal loro Authenticator o da applicazioni di terze parti come Authy. Per te che forse non lo hai letto, consiglio uno sguardo al mio vecchio articolo dove ti parlo dell’autenticazione a due fattori di big G., scritto ormai 4 anni fa (si, il tempo passa molto velocemente).

Oggi Google permette di richiedere direttamente sul cellulare l’autorizzazione a lasciar accedere una sessione sconosciuta, magari da una nuova postazione, cosa che fino a oggi (in realtà fino a qualche giorno fa, dato che questo articolo verrà pubblicato in maniera schedulata) era possibile fare solo tramite un nuovo codice di autenticazione generato sul momento.

Sicurezza: la nuova 2-step verification di Google 7

Di cosa hai bisogno

Assolutamente nulla, se sei possessore di smartphone Android. Se invece possiedi un dispositivo Apple, assicurati di aver scaricato e installato l’applicazione ufficiale di ricerca di Google:

Google
Google
Developer: Google, Inc.
Price: Free

A questo punto sei pronto per la configurazione della nuova modalità di accesso sicuro. Accedi a myaccount.google.com/security/signinoptions/two-step-verification e autenticati (ti verrà richiesto, anche se sei già collegato a Google), nelle opzioni di sicurezza potrai configurare un diverso metodo di accesso, qui troverai Messaggio di Google:

Sicurezza: la nuova 2-step verification di Google 5

A questo punto comincerà un piccolo wizard che ti guiderà alla scelta del telefono che potrà autorizzare l’accesso da nuova postazione, ammesso che questo abbia un blocco schermo abilitato e protetto da una qualsivoglia autenticazione (sequenza, PIN, impronta digitale, ecc.):

Una prova “in diretta” del nuovo metodo farà comparire a video (del dispositivo scelto) la richiesta di conferma della tua identità, così da lasciar proseguire la nuova postazione nell’atto di login:

Il gioco è fatto e il nuovo metodo è già utilizzabile. Potrai accedere da una nuova postazione al tuo account Google sia tramite codice di autenticazione (Authy, Google Authenticator), sia tramite messaggio sul display del tuo dispositivo principale.

Sicurezza: la nuova 2-step verification di Google 4

Grazie Google. Non c’è davvero nessun motivo per continuare ad utilizzare un’autenticazione basata sulla sola password come ultima barriera contro i potenziali malintenzionati.

2StepSecurityOrmai diversi mesi fa, complice il cambio dello smartphone e di sistema operativo (sono passato da iOS ad Android, ndr), ho cercato un’alternativa al sempre adorato e perfetto Google Authenticator perché allo stato attuale non è possibile effettuare un passaggio dei suoi dati da un telefono all’altro, non esiste un backup in cloud (previa autenticazione del mio account Google) né tanto meno un file di configurazione che possa essere copiato tra dispositivi, necessità dettata certamente dai criteri di sicurezza che devono poter impedire l’eventuale clonazione delle mie chiavi di autenticazione venendo così meno al concetto di sicurezza a due fattori.

A questo ho aggiunto la personale necessità di adottare una soluzione che potesse essere acceduta sia dal mio telefono personale che da quello aziendale. Mi sono trovato (un solo caso in tutti questi anni, fortunatamente) in una situazione spiacevole che mai mi era capitata prima: lasciare il cellulare personale a casa, distrattamente dimenticato sotto il cuscino del divano e ovviamente lasciato lì una volta che me ne sono accorto in macchina. Per tutto il corso della giornata non ho potuto utilizzare uno dei miei servizi perché non avevo modo di generare un codice di autenticazione e no, questo servizio non permetteva di generare codici di backup, in pratica sono rimasto chiuso fuori.

L’alternativa esiste da diverso tempo, si chiama Authy e anche se non è open source come Google Authenticator (nonostante pubblichi molto codice su Github) garantisce massima protezione dei vostri dati permettendo inoltre di generare i codici su più dispositivi contemporaneamente (previa autenticazione con password master dell’account).

Authy 2-Factor Authentication
Authy 2-Factor Authentication
Developer: Authy
Price: Free
Authy
Authy
Developer: Authy Inc.
Price: Free

Registrare un account è gratuito e l’applicazione per generare i codici è compatibile con pressoché qualsiasi piattaforma: authy.com/users. Inoltre se siete utilizzatori di Google Chrome potete utilizzare l’estensione che vi permette di non staccare le mani dalla tastiera del PC e generare i codici di autenticazione “in diretta” (chrome.google.com/webstore/detail/authy/gaedmjdfmmahhbjefcbgaolhhanlaolb?hl=en) permettendo così di rendere Authy compatibile anche con Windows, OS X o Linux (a quando la stessa estensione per Firefox o magari stand-alone?).

In breve: funzionamento

Installate l’applicazione e avviatela, potrete creare il vostro account immediatamente. Al momento vi basterà inserire il vostro numero di cellulare e il vostro indirizzo di posta elettronica, quindi richiedere la verifica tramite SMS o chiamata (è gratuito in entrambi i casi) e inserirlo nel box a video per confermare la vostra identità (qui di seguito inserisco le schermate iOS, non differiscono da quelle Android):

A questo punto sarà già possibile aggiungere nuovi account che richiedono di generare un secondo codice di autenticazione (come GMail o WordPress.com, tanto per citarne due che utilizzo regolarmente). Date un’occhiata alle impostazioni dell’applicazione, scoprirete che potrete tenere sotto backup tutti i vostri dati, aggiungere un PIN di protezione per evitare che chiunque possa aprire Authy e leggere i codici di autenticazione 2-Step e altro ancora (come spiegato anche sul sito web ufficiale). Authy è un’applicazione molto semplice da utilizzare, veloce, precisa, unica con quella sua possibilità di poter portare il proprio account su qualsiasi dispositivo, una comodità pazzesca.

Migrazione dei codici di autenticazione

Questo paragrafo si basa sulla mia personale esperienza e ovviamente non tutti i miei software / servizi utilizzano l’autenticazione 2-Step con Google Authenticator / Authy, alcuni “fanno tutto in casa“: Facebook genera codici tramite la sua applicazione ufficiale così come Twitter genera le richieste di autorizzazione login all’interno della sua di applicazione (o via SMS in alternativa). Ecco quindi il da farsi con il resto della compagnia. Si parla di WordPress (.com e Self Hosted), di Dropbox, di TeamViewer ed infine di Hootsuite, in futuro aggiungerò sicuramente altri servizi di cui vi parlerò anche qui sul blog, potete seguire tutto ciò che scrivo a proposito di autenticazione a due fattori filtrando il tag “2-step-verification“.

Google è quello più “guidato” da migrare. Permette infatti, tramite il suo stesso sito, di spostare l’autenticazione da un cellulare all’altro, da un sistema (iOS) all’altro (Android). Basterà andare sulla pagina dedicata all’indirizzo accounts.google.com/b/0/SmsAuthSettings#devices e scegliere di modificare il telefono seguendo le istruzioni a video (e cominciando facendo clic su “Sposta su un altro telefono“), come nel passo-passo delle immagini qui di seguito:

A questo punto dovrete invece fare “la fatica” poiché sono diversi i siti web sui quali bisognerà rifare il lavoro. Si comincia da WordPress.com dove l’autenticazione a due fattori va prima disattivata e poi riattivata facendo uso di Authy (dato che cambiano le chiavi di backup, che andranno quindi nuovamente copiate e tenute in un luogo sicuro, mi raccomando), così come TeamViewer, da gestire anche lui tramite sito web (con nuova chiave di recupero annessa).

Senza far troppa fatica invece potrete semplicemente scansionare con Authy il token già generato sia su Dropbox (dove sarà necessario modificare il metodo di autenticazione, selezionare ancora una volta applicazione e seguire le istruzioni a video) che su Hootsuite. Persino i plugin di protezione del login form per WordPress basati su autenticazione Google (come Google Authenticator).

In questi mesi di utilizzo ho potuto realmente apprezzare Authy e la serie di servizi annessi. La comodità di poter generare codici con qualunque dei miei dispositivi è fuori di dubbio il migliore tra i punti a favore della soluzione. Su iPhone 5 (o superiore) l’applicazione potrà essere anche protetta tramite TouchID (altrimenti per Android e iPhone inferiori si potrà utilizzare il più classico e sempre funzionale codice di blocco).