Archives For Google Authenticator

In realtà la prima parte del lavoro l’ha fatta tutta Plesk e l’hosting su cui faccio girare il mio DokuWiki, lo ammetto. La seconda è invece pilotabile tramite estensione da installare, configurare e cominciare a utilizzare, modificando il metodo di login predefinito del software.

DokuWiki: HTTPS e autenticazione in due fattori

Plesk permette (se il modulo è installato e configurato) di utilizzare Let’s Encrypt per generare (e in seguito rinnovare automaticamente) un certificato per uno o più domini gestiti. Inoltre, per completare l’opera, può automaticamente forzare il redirect 301 verso ogni pagina in HTTPS così da evitare che qualche visitatore finisca ancora sotto HTTP (dalle impostazioni hosting di ciascun dominio / vhost). Spiegato in una sola immagine, il risultato è questo:

DokuWiki: HTTPS e autenticazione in due fattori 1

2FA (Autenticazione in due fattori)

Che poi è il succo dell’articolo promemoria nel caso in cui mi serva rifarlo successivamente a questa prima installazione. Il plugin si chiama authg2fa ed è disponibile nel repository ufficiale di DokuWiki all’indirizzo dokuwiki.org/plugin:authg2fa.

Lo puoi installare direttamente dal tuo Extension Manager, basta cercarlo con il nome che ti ho appena indicato. Lo troverai poi in dashboard (sotto gli Additional Plugins), per poter amministrare i token di ciascun utente registrato nel Wiki. Per poter ottenere il QR code da catturare con Authy (o qualsiasi altra applicazione compatibile) dovrai prima generare il Secret (pulsante Create new Secret, nda), quindi potrai selezionare “Show Secret/QR Code“:

DokuWiki: HTTPS e autenticazione in due fattori 2

Effettua la solita procedura per la registrazione di un nuovo accesso 2FA sulla tua applicazione preferita, quindi abbandona questa pagina e torna in dashboard, spostandoti in Configuration SettingsAuthentication, dove ti basterà modificare il metodo di autenticazione da quello attualmente utilizzato a authg2fa:

DokuWiki: HTTPS e autenticazione in due fattori 3

Scorri la pagina delle impostazioni fino in fondo, quindi salva la modifica appena operata, dovresti perdere la tua sessione e venire costretto a un nuovo login, stavolta specificando anche il codice di autenticazione doppia:

DokuWiki: HTTPS e autenticazione in due fattori 4

Inserisci i dati richiesti ed entra nuovamente in possesso del tuo utente e del tuo Wiki :-)

Ricorda: in caso di problemi, consulta la documentazione ufficiale del plugin disponibile su dokuwiki.org/plugin:authg2fa, ciò che puoi fare nell’immediato (nel caso in cui tu abbia rogne con l’autenticazione a due fattori) è tornare in “plain auth” modificando il file di configurazione di DokuWiki via FTP (/conf/local.php), modificando la stringa da $conf['authtype'] = 'authg2fa'; a $conf['authtype'] = 'authplain';.

Buon lavoro :-)

Condividi l'articolo con i tuoi contatti:

Sai già come funziona: Amazon è leader pressoché contrastato nelle vendite online da qualche anno a questa parte, e sta sempre più velocemente mangiandosi competitor che soffrono e incassano a fatica il duro colpo portato a segno dalla società di Jeff Bezos. Ciò che però negli anni non cambia è un metodo di incasso che lascia un pelo di spazio a possibili acquisti non esattamente desiderati.

Pensaci un attimo: se su Amazon utilizzi la tua carta di credito, avrai probabilmente notato la richiesta di dettagli (numero di carta, scadenza e codice CVV2) in occasione del primo acquisto con consegna presso un nuovo indirizzo. Se quell’indirizzo è stato già utilizzato e le informazioni carte già specificate, Amazon permette l’acquisto del bene senza passare dai meccanismi di protezione delle carte (penso a SecureCode di Mastercard o Verified by Visa). È quindi arrivato il momento di proteggere il proprio accesso ad Amazon, per evitare spiacevoli sorprese.

Sicurezza: la 2-step verification di Amazon

Non troppo pubblicizzata, l’autenticazione in due fattori è già disponibile per tutti su Amazon, e può essere pilotata anch’essa tramite Authy o equivalente (Google Authenticator, per esempio), basta andarla ad attivare tramite Impostazioni di sicurezza dell’account. Io ho eseguito la procedura da Amazon.com, ma è disponibile anche su Amazon.it, gli screenshot che ho catturato sono in inglese ma –mi ripeto– potrai seguire le istruzioni a video in lingua italiana se passerai dalla versione nostrana della vetrina e-commerce.

Detto ciò, partiamo (fai clic sulla prima immagine per aprire la galleria e seguire i passaggi uno dopo l’altro):

Al solito, ti propongo qui di seguito la lista passaggi riepilogata, se vuoi evitare di leggere le note sotto ogni immagine della galleria qui sopra:

  • Accedi alle impostazioni di sicurezza del tuo account (da amazon.it, seleziona Il mio account → Accesso e impostazioni di sicurezza), quindi fai clic su Modifica in corrispondenza di Impostazioni avanzate di sicurezza (qui il link diretto).
  • Inizia la procedura per abilitare l’autenticazione in due fattori, verrai guidato in un percorso che ti chiederà di utilizzare il tuo numero di telefono o un’applicazione di terza parte per generare i codici randomici. Se sceglierai di utilizzare l’applicazione, ti verrà richiesto di inquadrare il codice QR e inserire il codice generato.
  • A questo punto servirà un metodo di recupero in caso di emergenza. Io ho scelto un SMS inviato al mio numero di telefono. Arriva entro qualche istante e può essere facilmente confermato a video.
  • La procedura è ormai terminata. Potrai scegliere di non sottoporre il PC che stai utilizzando in questo momento all’autenticazione 2-Step. Fallo solo se si tratta di una postazione tua, senza alcun accesso condiviso (neanche in famiglia).

Da questo momento dovrai fornire un secondo codice di autenticazione nel momento in cui proverai a collegarti al tuo account Amazon da un altro dispositivo (PC / telefono / ecc.), non è come integrare il meccanismo di protezione della carta di credito, ma è già uno strato in più rispetto a quello proposto di default.


Immagine di copertina Maarten van den Heuvel on Unsplash
Condividi l'articolo con i tuoi contatti:

Probabilmente era solo questione di tempo, la speranza che ci fosse dietro qualcuno a gonfiare la cosa più del dovuto, magari per farsi notare nella community e ottenere quei 15 minuti di notorietà. E invece no. Il leak delle credenziali Dropbox datato 2012 e quasi passato inosservato per molti (non per tutti, rilanciato anche da molte testate e siti web, nda) sembra essere reale e funzionante.

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate

In questi giorni arrivano mail da Dropbox che invitano a cambiare la propria password di accesso solo per “prevenire possibili attacchi“, in realtà c’è chi ha messo le mani su quanto sottratto 4 anni fa, ottenendo “buoni” (si fa per dire) risultati, dimostrando come siano ben visibili le coppie di credenziali (username e password) all’interno dei file recuperati. Consiglio caldamente la lettura dell’articolo di Troy Hunt in merito, disponibile all’indirizzo troyhunt.com/the-dropbox-hack-is-real. Con pochi passaggi ha mostrato come le credenziali per l’accesso all’account Drpobox della moglie fossero alla mercé di tutti (quelli coloro hanno copia degli accessi sottratti, nda), nonostante la password fosse stata creata in maniera robusta e difficilmente “calcolabile o intuibile“.

Il suo progetto, HIBP (Have I been pwned? Qui maggiori informazioni) raccoglie 68.648.009 account di Dropbox potenzialmente compromessi, immediatamente ricercabili. Io ho già trovato uno dei miei account Dropbox, risulta facente parte dell’elenco sottratto all’azienda, ma avevo cambiato password e abilitato l’autenticazione in due fattori già all’epoca dell’attacco (nel frattempo ho anche modificato la mail di accesso), non ho mai riscontrato problemi in seguito (furto di dati, cancellazioni o simili).

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate 1

Tu puoi fare la stessa cosa. Di certo devi andare a verificare che il tuo indirizzo di posta non faccia parte di quell’elenco (e potenzialmente anche di altro), quindi cambiare la tua password e abilitare l’accesso 2-Step come già spiegato in questo mio vecchio articolo (scritto proprio dopo quell’attacco del 2012):

Sicurezza: la 2-step verification di Dropbox

Prima di concludere: ricorda di iscrivere ogni tuo indirizzo di posta elettronica, utilizzato per registrarti a servizi di terze parti, al sito di Troy (da qui: haveibeenpwned.com/NotifyMe), così da ricevere tempestivamente un avviso nel caso in cui il tuo account venga sottratto da qualche database senza che tu ne sappia alcunché, così da reagire immediatamente all’attacco e cambiare la tua password. Ricorda: evita di utilizzare la stessa password per più servizi, ti esponi a maggiore facilità di penetrazione. Utilizza sempre una password facile da ricordare (per te) ma difficile da intuire (sembra un gioco di parole, ti assicuro che non vuole esserlo). È buona norma raggiungere o superare gli 8 caratteri alfanumerici includendo possibilmente una maiuscola e un segno di punteggiatura o altro simbolo, in alcuni casi viene accettato anche lo spazio.

Giusto per capirci: lo sai che “Il cavallo bianco di Napoleone :-)” è una password più complessa di “L0h4ck3r2o16.!!” o altre simili inventate sul momento, pensando che così nessuno possa trovarle? L’apparenza inganna spesso. Utilizza un buon programma per generare e salvare le tue password (1Password, KeePass e simili), cerca di averne una per ciascun servizio utilizzato, proteggi il più possibile i tuoi accessi con la 2 Factor Authentication.

Estote parati (citando il buon Matteo).

Condividi l'articolo con i tuoi contatti:

Importante novità da parte di Google, si torna a parlare di autenticazione a due fattori e lo si fa in una maniera nettamente più semplice rispetto all’inserimento del codice temporaneo generato dal loro Authenticator o da applicazioni di terze parti come Authy. Per te che forse non lo hai letto, consiglio uno sguardo al mio vecchio articolo dove ti parlo dell’autenticazione a due fattori di big G., scritto ormai 4 anni fa (si, il tempo passa molto velocemente).

Oggi Google permette di richiedere direttamente sul cellulare l’autorizzazione a lasciar accedere una sessione sconosciuta, magari da una nuova postazione, cosa che fino a oggi (in realtà fino a qualche giorno fa, dato che questo articolo verrà pubblicato in maniera schedulata) era possibile fare solo tramite un nuovo codice di autenticazione generato sul momento.

Sicurezza: la nuova 2-step verification di Google 7

Di cosa hai bisogno

Assolutamente nulla, se sei possessore di smartphone Android. Se invece possiedi un dispositivo Apple, assicurati di aver scaricato e installato l’applicazione ufficiale di ricerca di Google:

Google
Google
Developer: Google, Inc.
Price: Free

A questo punto sei pronto per la configurazione della nuova modalità di accesso sicuro. Accedi a myaccount.google.com/security/signinoptions/two-step-verification e autenticati (ti verrà richiesto, anche se sei già collegato a Google), nelle opzioni di sicurezza potrai configurare un diverso metodo di accesso, qui troverai Messaggio di Google:

Sicurezza: la nuova 2-step verification di Google 5

A questo punto comincerà un piccolo wizard che ti guiderà alla scelta del telefono che potrà autorizzare l’accesso da nuova postazione, ammesso che questo abbia un blocco schermo abilitato e protetto da una qualsivoglia autenticazione (sequenza, PIN, impronta digitale, ecc.):

Una prova “in diretta” del nuovo metodo farà comparire a video (del dispositivo scelto) la richiesta di conferma della tua identità, così da lasciar proseguire la nuova postazione nell’atto di login:

Il gioco è fatto e il nuovo metodo è già utilizzabile. Potrai accedere da una nuova postazione al tuo account Google sia tramite codice di autenticazione (Authy, Google Authenticator), sia tramite messaggio sul display del tuo dispositivo principale.

Sicurezza: la nuova 2-step verification di Google 4

Grazie Google. Non c’è davvero nessun motivo per continuare ad utilizzare un’autenticazione basata sulla sola password come ultima barriera contro i potenziali malintenzionati.

Condividi l'articolo con i tuoi contatti:

2StepSecurityOrmai diversi mesi fa, complice il cambio dello smartphone e di sistema operativo (sono passato da iOS ad Android, ndr), ho cercato un’alternativa al sempre adorato e perfetto Google Authenticator perché allo stato attuale non è possibile effettuare un passaggio dei suoi dati da un telefono all’altro, non esiste un backup in cloud (previa autenticazione del mio account Google) né tanto meno un file di configurazione che possa essere copiato tra dispositivi, necessità dettata certamente dai criteri di sicurezza che devono poter impedire l’eventuale clonazione delle mie chiavi di autenticazione venendo così meno al concetto di sicurezza a due fattori.

A questo ho aggiunto la personale necessità di adottare una soluzione che potesse essere acceduta sia dal mio telefono personale che da quello aziendale. Mi sono trovato (un solo caso in tutti questi anni, fortunatamente) in una situazione spiacevole che mai mi era capitata prima: lasciare il cellulare personale a casa, distrattamente dimenticato sotto il cuscino del divano e ovviamente lasciato lì una volta che me ne sono accorto in macchina. Per tutto il corso della giornata non ho potuto utilizzare uno dei miei servizi perché non avevo modo di generare un codice di autenticazione e no, questo servizio non permetteva di generare codici di backup, in pratica sono rimasto chiuso fuori.

L’alternativa esiste da diverso tempo, si chiama Authy e anche se non è open source come Google Authenticator (nonostante pubblichi molto codice su Github) garantisce massima protezione dei vostri dati permettendo inoltre di generare i codici su più dispositivi contemporaneamente (previa autenticazione con password master dell’account).

Authy 2-Factor Authentication
Authy 2-Factor Authentication
Developer: Authy
Price: Free
Authy
Authy
Developer: Authy Inc.
Price: Free

Registrare un account è gratuito e l’applicazione per generare i codici è compatibile con pressoché qualsiasi piattaforma: authy.com/users. Inoltre se siete utilizzatori di Google Chrome potete utilizzare l’estensione che vi permette di non staccare le mani dalla tastiera del PC e generare i codici di autenticazione “in diretta” (chrome.google.com/webstore/detail/authy/gaedmjdfmmahhbjefcbgaolhhanlaolb?hl=en) permettendo così di rendere Authy compatibile anche con Windows, OS X o Linux (a quando la stessa estensione per Firefox o magari stand-alone?).

In breve: funzionamento

Installate l’applicazione e avviatela, potrete creare il vostro account immediatamente. Al momento vi basterà inserire il vostro numero di cellulare e il vostro indirizzo di posta elettronica, quindi richiedere la verifica tramite SMS o chiamata (è gratuito in entrambi i casi) e inserirlo nel box a video per confermare la vostra identità (qui di seguito inserisco le schermate iOS, non differiscono da quelle Android):

A questo punto sarà già possibile aggiungere nuovi account che richiedono di generare un secondo codice di autenticazione (come GMail o WordPress.com, tanto per citarne due che utilizzo regolarmente). Date un’occhiata alle impostazioni dell’applicazione, scoprirete che potrete tenere sotto backup tutti i vostri dati, aggiungere un PIN di protezione per evitare che chiunque possa aprire Authy e leggere i codici di autenticazione 2-Step e altro ancora (come spiegato anche sul sito web ufficiale). Authy è un’applicazione molto semplice da utilizzare, veloce, precisa, unica con quella sua possibilità di poter portare il proprio account su qualsiasi dispositivo, una comodità pazzesca.

Migrazione dei codici di autenticazione

Questo paragrafo si basa sulla mia personale esperienza e ovviamente non tutti i miei software / servizi utilizzano l’autenticazione 2-Step con Google Authenticator / Authy, alcuni “fanno tutto in casa“: Facebook genera codici tramite la sua applicazione ufficiale così come Twitter genera le richieste di autorizzazione login all’interno della sua di applicazione (o via SMS in alternativa). Ecco quindi il da farsi con il resto della compagnia. Si parla di WordPress (.com e Self Hosted), di Dropbox, di TeamViewer ed infine di Hootsuite, in futuro aggiungerò sicuramente altri servizi di cui vi parlerò anche qui sul blog, potete seguire tutto ciò che scrivo a proposito di autenticazione a due fattori filtrando il tag “2-step-verification“.

Google è quello più “guidato” da migrare. Permette infatti, tramite il suo stesso sito, di spostare l’autenticazione da un cellulare all’altro, da un sistema (iOS) all’altro (Android). Basterà andare sulla pagina dedicata all’indirizzo accounts.google.com/b/0/SmsAuthSettings#devices e scegliere di modificare il telefono seguendo le istruzioni a video (e cominciando facendo clic su “Sposta su un altro telefono“), come nel passo-passo delle immagini qui di seguito:

A questo punto dovrete invece fare “la fatica” poiché sono diversi i siti web sui quali bisognerà rifare il lavoro. Si comincia da WordPress.com dove l’autenticazione a due fattori va prima disattivata e poi riattivata facendo uso di Authy (dato che cambiano le chiavi di backup, che andranno quindi nuovamente copiate e tenute in un luogo sicuro, mi raccomando), così come TeamViewer, da gestire anche lui tramite sito web (con nuova chiave di recupero annessa).

Senza far troppa fatica invece potrete semplicemente scansionare con Authy il token già generato sia su Dropbox (dove sarà necessario modificare il metodo di autenticazione, selezionare ancora una volta applicazione e seguire le istruzioni a video) che su Hootsuite. Persino i plugin di protezione del login form per WordPress basati su autenticazione Google (come Google Authenticator).

In questi mesi di utilizzo ho potuto realmente apprezzare Authy e la serie di servizi annessi. La comodità di poter generare codici con qualunque dei miei dispositivi è fuori di dubbio il migliore tra i punti a favore della soluzione. Su iPhone 5 (o superiore) l’applicazione potrà essere anche protetta tramite TouchID (altrimenti per Android e iPhone inferiori si potrà utilizzare il più classico e sempre funzionale codice di blocco).

Condividi l'articolo con i tuoi contatti: