Archives For Google Authenticator

Che poi tanto nuova non è, ma questo dipende esclusivamente dal mio tempo libero e dalla possibilità di scrivere qui sul blog. Instagram ha finalmente abbandonato (anche se non in via esclusiva, bensì solo a richiesta dell’utente finale) la verifica in due fattori con il messaggio (SMS) post-autenticazione. Dalla notte dei tempi (in realtà da sempre), il messaggio di testo recapitato sullo smartphone non garantisce affatto la sicurezza che questo venga letto esclusivamente dal proprietario del dispositivo (e quindi proprietario anche dell’account Instagram), progressivamente questa forma di verifica sta andando –meglio tardi che mai– in pensione, lasciando spazio a soluzioni alternative più robuste.

Sicurezza: la nuova 2-step verification di Instagram

Bando alle ciance, è ora di togliere di mezzo il vecchio SMS, procediamo insieme all’abilitazione dell’autenticazione a due fattori tramite codice generato randomicamente o autorizzazione tramite diversa applicazione (nel mio caso ho usato Duo, della quale ti ho parlato in questo articolo).

  • Apri Instagram e spostati nelle Impostazioni del tuo account.
  • Sotto alla voce Privacy e sicurezza seleziona Autenticazione a due fattori.
  • Abilita la voce “App di autenticazione” quindi segui le istruzioni a video. Io, senza doverlo specificare, ho potuto procedere con “Duo Security“, in quanto l’applicazione è già installata sul mio Android per fare da tramite verso l’area amministrativa di WordPress, mi è quindi bastato confermare il tutto (e farmi riconoscere da Duo) per completare l’operazione. Tu, in alternativa, puoi selezionare la voce “Configura manualmente” (in basso nella schermata), accederai così alla configurazione che già certamente conosci per la verifica a due fattori, quella composta dal solito QR code da dare in pasto a Google Authenticator o Authy per ottenere il codice generato randomicamente.
  • Non dimenticare, in fase di termine attivazione, di accedere ai tuoi codici di backup, prendendone nota (o catturando uno screenshot), ti serviranno per eludere il controllo via 2FA nel caso in cui il tuo telefono (o applicazione di creazione codici) non sia disponibile.

Un consiglio in chiusura articolo: se vuoi, disattiva la verifica in due passaggi tramite SMS, così facendo l’unico metodo utilizzabile sarà quello basato sull’applicazione che genera i codici random, quello che generalmente bisognerebbe adottare nella totalità dei casi.

Condividi l'articolo con i tuoi contatti:

Da quando esiste, l’account Firefox (che permette il sync di Segnalibri, Password, ecc., ma anche il collegamento diretto al sito degli Addons e quello di Pocket) non ha mai potuto usufruire dell’autenticazione in due passaggi così come la conosciamo oggigiorno, è sempre bastato (si fa per dire) accedere alla casella di posta elettronica associata all’account Firefox per confermare l’accesso. Da oggi, finalmente, l’account Firefox può essere protetto con autenticazione 2-Step.

Sicurezza: la 2-step verification di Firefox

In attesa che il nostro fantastico team localizzi il documento ufficiale, accedi a accounts.firefox.com/settings/two_step_authentication?showTwoStepAuthentication=true, quindi approfitta del nuovo interruttore disponibile a video per attivare la funzionalità. Dovrai semplicemente catturare il QR Code, inserire il codice generato per conferma, quindi prendere nota dei codici di backup che verranno mostrati (solo questa volta e poi mai più, per sicurezza, mal che vada potrai sempre generarne di nuovi).

Ti mostro -come al solito- la rapida sequenza dei passaggi con immagini catturate durante l’attivazione della 2-Step per il mio account Firefox:

Da questo momento dovrai fornire un secondo codice di autenticazione nel momento in cui proverai a collegarti al tuo account Firefox da un altro dispositivo (PC / telefono / ecc.).


immagine di copertina: unsplash.com / author: Natã Figueiredo
Condividi l'articolo con i tuoi contatti:

In realtà la prima parte del lavoro l’ha fatta tutta Plesk e l’hosting su cui faccio girare il mio DokuWiki, lo ammetto. La seconda è invece pilotabile tramite estensione da installare, configurare e cominciare a utilizzare, modificando il metodo di login predefinito del software.

DokuWiki: HTTPS e autenticazione in due fattori

Plesk permette (se il modulo è installato e configurato) di utilizzare Let’s Encrypt per generare (e in seguito rinnovare automaticamente) un certificato per uno o più domini gestiti. Inoltre, per completare l’opera, può automaticamente forzare il redirect 301 verso ogni pagina in HTTPS così da evitare che qualche visitatore finisca ancora sotto HTTP (dalle impostazioni hosting di ciascun dominio / vhost). Spiegato in una sola immagine, il risultato è questo:

DokuWiki: HTTPS e autenticazione in due fattori 1

2FA (Autenticazione in due fattori)

Che poi è il succo dell’articolo promemoria nel caso in cui mi serva rifarlo successivamente a questa prima installazione. Il plugin si chiama authg2fa ed è disponibile nel repository ufficiale di DokuWiki all’indirizzo dokuwiki.org/plugin:authg2fa.

Lo puoi installare direttamente dal tuo Extension Manager, basta cercarlo con il nome che ti ho appena indicato. Lo troverai poi in dashboard (sotto gli Additional Plugins), per poter amministrare i token di ciascun utente registrato nel Wiki. Per poter ottenere il QR code da catturare con Authy (o qualsiasi altra applicazione compatibile) dovrai prima generare il Secret (pulsante Create new Secret, nda), quindi potrai selezionare “Show Secret/QR Code“:

DokuWiki: HTTPS e autenticazione in due fattori 2

Effettua la solita procedura per la registrazione di un nuovo accesso 2FA sulla tua applicazione preferita, quindi abbandona questa pagina e torna in dashboard, spostandoti in Configuration SettingsAuthentication, dove ti basterà modificare il metodo di autenticazione da quello attualmente utilizzato a authg2fa:

DokuWiki: HTTPS e autenticazione in due fattori 3

Scorri la pagina delle impostazioni fino in fondo, quindi salva la modifica appena operata, dovresti perdere la tua sessione e venire costretto a un nuovo login, stavolta specificando anche il codice di autenticazione doppia:

DokuWiki: HTTPS e autenticazione in due fattori 4

Inserisci i dati richiesti ed entra nuovamente in possesso del tuo utente e del tuo Wiki :-)

Ricorda: in caso di problemi, consulta la documentazione ufficiale del plugin disponibile su dokuwiki.org/plugin:authg2fa, ciò che puoi fare nell’immediato (nel caso in cui tu abbia rogne con l’autenticazione a due fattori) è tornare in “plain auth” modificando il file di configurazione di DokuWiki via FTP (/conf/local.php), modificando la stringa da $conf['authtype'] = 'authg2fa'; a $conf['authtype'] = 'authplain';.

Buon lavoro :-)

Condividi l'articolo con i tuoi contatti:

Sai già come funziona: Amazon è leader pressoché contrastato nelle vendite online da qualche anno a questa parte, e sta sempre più velocemente mangiandosi competitor che soffrono e incassano a fatica il duro colpo portato a segno dalla società di Jeff Bezos. Ciò che però negli anni non cambia è un metodo di incasso che lascia un pelo di spazio a possibili acquisti non esattamente desiderati.

Pensaci un attimo: se su Amazon utilizzi la tua carta di credito, avrai probabilmente notato la richiesta di dettagli (numero di carta, scadenza e codice CVV2) in occasione del primo acquisto con consegna presso un nuovo indirizzo. Se quell’indirizzo è stato già utilizzato e le informazioni carte già specificate, Amazon permette l’acquisto del bene senza passare dai meccanismi di protezione delle carte (penso a SecureCode di Mastercard o Verified by Visa). È quindi arrivato il momento di proteggere il proprio accesso ad Amazon, per evitare spiacevoli sorprese.

Sicurezza: la 2-step verification di Amazon

Non troppo pubblicizzata, l’autenticazione in due fattori è già disponibile per tutti su Amazon, e può essere pilotata anch’essa tramite Authy o equivalente (Google Authenticator, per esempio), basta andarla ad attivare tramite Impostazioni di sicurezza dell’account. Io ho eseguito la procedura da Amazon.com, ma è disponibile anche su Amazon.it, gli screenshot che ho catturato sono in inglese ma –mi ripeto– potrai seguire le istruzioni a video in lingua italiana se passerai dalla versione nostrana della vetrina e-commerce.

Detto ciò, partiamo (fai clic sulla prima immagine per aprire la galleria e seguire i passaggi uno dopo l’altro):

Al solito, ti propongo qui di seguito la lista passaggi riepilogata, se vuoi evitare di leggere le note sotto ogni immagine della galleria qui sopra:

  • Accedi alle impostazioni di sicurezza del tuo account (da amazon.it, seleziona Il mio account → Accesso e impostazioni di sicurezza), quindi fai clic su Modifica in corrispondenza di Impostazioni avanzate di sicurezza (qui il link diretto).
  • Inizia la procedura per abilitare l’autenticazione in due fattori, verrai guidato in un percorso che ti chiederà di utilizzare il tuo numero di telefono o un’applicazione di terza parte per generare i codici randomici. Se sceglierai di utilizzare l’applicazione, ti verrà richiesto di inquadrare il codice QR e inserire il codice generato.
  • A questo punto servirà un metodo di recupero in caso di emergenza. Io ho scelto un SMS inviato al mio numero di telefono. Arriva entro qualche istante e può essere facilmente confermato a video.
  • La procedura è ormai terminata. Potrai scegliere di non sottoporre il PC che stai utilizzando in questo momento all’autenticazione 2-Step. Fallo solo se si tratta di una postazione tua, senza alcun accesso condiviso (neanche in famiglia).

Da questo momento dovrai fornire un secondo codice di autenticazione nel momento in cui proverai a collegarti al tuo account Amazon da un altro dispositivo (PC / telefono / ecc.), non è come integrare il meccanismo di protezione della carta di credito, ma è già uno strato in più rispetto a quello proposto di default.


Immagine di copertina Maarten van den Heuvel on Unsplash
Condividi l'articolo con i tuoi contatti:

Probabilmente era solo questione di tempo, la speranza che ci fosse dietro qualcuno a gonfiare la cosa più del dovuto, magari per farsi notare nella community e ottenere quei 15 minuti di notorietà. E invece no. Il leak delle credenziali Dropbox datato 2012 e quasi passato inosservato per molti (non per tutti, rilanciato anche da molte testate e siti web, nda) sembra essere reale e funzionante.

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate

In questi giorni arrivano mail da Dropbox che invitano a cambiare la propria password di accesso solo per “prevenire possibili attacchi“, in realtà c’è chi ha messo le mani su quanto sottratto 4 anni fa, ottenendo “buoni” (si fa per dire) risultati, dimostrando come siano ben visibili le coppie di credenziali (username e password) all’interno dei file recuperati. Consiglio caldamente la lettura dell’articolo di Troy Hunt in merito, disponibile all’indirizzo troyhunt.com/the-dropbox-hack-is-real. Con pochi passaggi ha mostrato come le credenziali per l’accesso all’account Drpobox della moglie fossero alla mercé di tutti (quelli coloro hanno copia degli accessi sottratti, nda), nonostante la password fosse stata creata in maniera robusta e difficilmente “calcolabile o intuibile“.

Il suo progetto, HIBP (Have I been pwned? Qui maggiori informazioni) raccoglie 68.648.009 account di Dropbox potenzialmente compromessi, immediatamente ricercabili. Io ho già trovato uno dei miei account Dropbox, risulta facente parte dell’elenco sottratto all’azienda, ma avevo cambiato password e abilitato l’autenticazione in due fattori già all’epoca dell’attacco (nel frattempo ho anche modificato la mail di accesso), non ho mai riscontrato problemi in seguito (furto di dati, cancellazioni o simili).

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate 1

Tu puoi fare la stessa cosa. Di certo devi andare a verificare che il tuo indirizzo di posta non faccia parte di quell’elenco (e potenzialmente anche di altro), quindi cambiare la tua password e abilitare l’accesso 2-Step come già spiegato in questo mio vecchio articolo (scritto proprio dopo quell’attacco del 2012):

Sicurezza: la 2-step verification di Dropbox

Prima di concludere: ricorda di iscrivere ogni tuo indirizzo di posta elettronica, utilizzato per registrarti a servizi di terze parti, al sito di Troy (da qui: haveibeenpwned.com/NotifyMe), così da ricevere tempestivamente un avviso nel caso in cui il tuo account venga sottratto da qualche database senza che tu ne sappia alcunché, così da reagire immediatamente all’attacco e cambiare la tua password. Ricorda: evita di utilizzare la stessa password per più servizi, ti esponi a maggiore facilità di penetrazione. Utilizza sempre una password facile da ricordare (per te) ma difficile da intuire (sembra un gioco di parole, ti assicuro che non vuole esserlo). È buona norma raggiungere o superare gli 8 caratteri alfanumerici includendo possibilmente una maiuscola e un segno di punteggiatura o altro simbolo, in alcuni casi viene accettato anche lo spazio.

Giusto per capirci: lo sai che “Il cavallo bianco di Napoleone :-)” è una password più complessa di “L0h4ck3r2o16.!!” o altre simili inventate sul momento, pensando che così nessuno possa trovarle? L’apparenza inganna spesso. Utilizza un buon programma per generare e salvare le tue password (1Password, KeePass e simili), cerca di averne una per ciascun servizio utilizzato, proteggi il più possibile i tuoi accessi con la 2 Factor Authentication.

Estote parati (citando il buon Matteo).

Condividi l'articolo con i tuoi contatti: