#156 – Il secondo fattore

#156 – Il secondo fattore

 
 
00:00 / 10:44
 
1X
 

Avere una password sicura è sano, avere l’autenticazione a due fattori è meglio, ma avere una chiavetta hardware per autenticarsi è ancora più sicuro. Ho comprato e sto usando una YbiKey e ne sono molto soddisfatto.

Pillole di Bit (https://www.pilloledib.it) è un podcast indipendente realizzato da Francesco Tucci, se vuoi contribuire alla realizzazione puoi usare Paypal, Satispay, il vecchio IBAN (contattami per chiedermelo) oppure i BitCoin (vedi QR code nella barra laterale del sito)
Se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
Telegram (un gruppo dove discutere degli argomenti del podcast)
Twitter del podcast e Twitter personale (il social che amo di più)
La mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio, puoi anche scrivere crittografato usando la mia chiave pubblica PGP)

Rispondo sempre

Se ti serve della consulenza tecnica, puoi avere tutte le informazioni alla mia pagina professionale

Se questo podcast ti piace, parlane con un amico e faglielo ascoltare!
Realizzo un altro podcast, prova a ad ascoltarlo, è per veri nerd (e anche per chi vorrebbe diventarlo): GeekCookies

Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 156 e io sono, come sempre, Francesco. Bentornati dalle vacanze! Anche io sono di nuovo davanti al microfono tutte le settimane, la puntata è disponibile il lunedì alle 4 del mattino. Ma potete ascoltare Pillole di bit anche più tardi, ovviamente. Per esempio mentre andate in ufficio e prendete l’auto, il bus o il treno alle 7:30, se la vostra app per podcast ha fatto il suo mestiere correttamente mentre voi dormivate ancora.

Spesso mi dicono di essere un po’ pignolo e ompiscatrole su determinati argomenti.
Secondo me si sbagliano, perché sono anche peggio.
Uno di questi è la questione password e accessi.
Nooo! Ancora una puntata sulle password!
Ebbene sì, ma con una novità. Oggi parliamo anche di hardware e di un po’ di storia.
L’hardware di cui vi parlerò l’ho potuto comprare con i fondi messi da parte con le vostre donazioni, quindi inizio con il ringraziare tutti quelli che hanno donato per sostenere il podcast. Grazie!
C’è una novità anche lì, ma ne parliamo dopo.

In questo mondo difficile e complesso abbiamo un milione di password da ricordare e, come vi ho raccontato nella puntata 154, è necessario un posto dove tenerle.
Serve per forza, perché avere 50 password tutte diverse tra di loro comporta la completa impossibilità di ricordarsele tutte a memoria. Così ne ricordo solo una e le altre sono tutte lì dentro. Con i giusti plugin non è neanche necessario fare copia-incolla delle password, sarà il software installato nel browser o nel telefono a inserirle per noi.
A un certo punto ci si è accorti che avere solo un utente e una password per proteggere un accesso non era abbastanza sicuro.
Basta perdere la password, facendola finire in mano di altri, che il nostro accesso può essere violato.
Brutta storia.
A questo punto sono nate le autenticazioni a due fattori, delle quali ho parlato nella puntata 59, direi abbastanza datata.
Per accedere ad un sistema siamo passati dal dover sapere qualcosa, la password, al dover possedere qualcosa, un sistema che ti permetta di inserire una seconda password, tipicamente un PIN di 6 o più cifre.
Il secondo fattore si ottiene in modi diversi.
Può essere mandato via SMS al numero di telefono registrato nell’account.
Questo sistema non è molto sicuro, perché, purtroppo, è facile fare SIM hijacking e rubare il numero di telefono a qualcuno da attaccare, in modo che il messaggio non arrivi a lui, ma all’attaccante. Ho parlato di cosa può succedere nella puntata 109.
Si potrebbe usare una di quelle chiavette fisiche, che, schiacciato un bottone, ti forniscono un codice.
Poi però hanno bucato RSA e l’algoritmo della generazione dei numeri è diventato pubblico, così quelle chiavette sono sparite e chi le usava di più, le banche, ha passato tutto sull’app del telefono.
Adesso, il sistema più usato è quello dell’app di autenticazione, il cui sistema, per l’utilizzatore finale, è abbastanza semplice.
Mi registro con utente e password, poi, nelle opzioni del mio account attivo l’autenticazione a due fattori, il servizio mi propone un QRcode che io scansiono con la mia app per i codici.
A questo punto l’app è sincronizzata con il servizio e mi genera un codice di 6 cifre ogni 30 secondi, quando devo accedere al servizio, metto l’utente, la password, poi apro l’app e metto il codice che vedo in quel momento, così da poter accedere.
La cosa non è complessa, ma è scomoda. Per ovviare a questo, molti produttori hanno allentato un po’ la cosa e, per esempio, chiedono il codice dell’app solo al primo accesso su un PC sul quale non è mai stato fatto prima.
Ci sono singoli provider che implementano il loro sistema personalizzato.
Ad esempio con Google, se hai un telefono con il tuo utente all’interno ti chiede sul telefono se hai fatto accesso e basta mettere il PIN di sblocco del telefono, o accedere con l’impronta o con il viso e rispondere sì.
Apple invece manda un pin su un altro dispositivo Apple che hai, non so cosa succede se ne hai solo uno, però.
I servizi generici si appoggiano ad app che fanno questo.
Io uso e sto dismettendo Google Authenticator, perché ha una piccolo problema: se perdi l’accesso al telefono dove hai l’app è un casino risalire a tutti i codici che attivano l’autenticazione a due fattori.
Ovviamente se hai l’autenticazione a due fattori attiva e perdi l’app che genera i codici, la cosa potrebbe risultare problematica, perché disattivarla non è attività semplice, per fortuna.
Da qualche tempo sto migrando i miei codici su un’altra app che ha alcune funzionalità molto interessanti.
La prima è che è bloccata all’accesso, quindi per ottenere i codici di sblocco devo inserire un PIN o l’impronta digitale, un po’ di sicurezza extra, insomma.
La seconda funzionalità è che si può fare backup dei codici che attivano la generazione dei token, in modo da non dover diventare matti se perdiamo il telefono dove sono tutte memorizzate. O se si rompe o se lo cancelliamo e non ci facciamo un salvataggio prima.
Questa app è Authy ed è la perfetta compagna del password manager.
A fare un po’ di ricorsione si può mettere il token dell’autenticazione a due fattori del password manager su Authy.
Detto così sembra tutto difficilissimo, ma in effetti, accedere a un servizio con password e token, a conti fatti, è rapido.
Accedo al sito
Metto utente e password, magari recuperandole dal gestore
Prendo il telefono
Lo sblocco
Apro Authy
La sblocco
Seleziono il servizio
Metto il token
Fatto, in meno di 30 secondi.
E poi, dopo tutto questo, c’è l’uovo di colombo.
La chiavetta per l’autenticazione.
La chiavetta per l’autenticazione ti cambia il mondo degli accessi.
Si compra su Amazon o altri shop di tecnologia, ha un prezzo che va dai 20 a 70€ e sostituisce in tutto e per tutto l’app che genera i codici. E’ supportata da una marea di software e applicazioni e funziona pressapoco così.
Nella gestione dell’account aggiungi, come secondo fattore di autenticazione, la chiavetta
Quando ti viene chiesto la infili nella porta USB
Schiacci il bottone della chiavetta
Questa viene registrata nell’account
All’accesso, solitamente il primo fatto su un nuovo PC, viene chiesta la password e poi di inserire la chiavetta, si inserisce, si schiaccia il bottone ed ecco fatto l’accesso.
Anche senza cellulare.
Una chiavetta può essere usata per molti servizi, ad esempio io la uso per la mia cassaforte bitwarden per le password, i miei account Gmail e altri servizi.
L’ho messa nel portachiavi delle chiavi dell’auto, così non posso scordarmela mai e vivo molto più tranquillo.
Ho lasciato la possibilità di usare ancora l’app con il generatore dei codici perché nel caso in cui me la scordassi o la rompessi sarei tagliato fuori dai miei account.
Alcune di queste chiavi sono NFC, quindi funzionano anche per sbloccare accessi ad app sul telefono, altre funzionano se collegate, con apposito adattatore al connettore dati del telefono stesso.
Io uso una YubiKey 5 NFC, trovate il link sponsorizzato su amazon nelle note dell’episodio.
Ma la chiavetta non fa solo queste cose, può fare una serie infinita di altre autenticazioni, con un po’ di sbattimento e configurazioni.
Potete usarla, per esempio per autenticarvi sul vostro PC, Windows, Linux o Mac, è un po’ uno sbattimento, ma funziona, al pari di una smartcard. Non funziona se il PC è legato ad un dominio Active Directory.
Sul sito di Yubi, ve lo lascio nelle note, trovate tutti i servizi con i quali è possibile associare la chiavetta.
Per ogni servizio è indicato, passo passo come configurare il tutto, alcuni sono oggettivamente un po’ complessi e soprattutto è indicato quali chiavette del produttore sono compatibili con quel particolare servizio.
Io la tengo nel portachiavi con le chiavi dell’auto, così sono certo di non scordarla da qualche parte, diciamo che mi ha cambiato la vita nella gestione delle autenticazioni. Non ho ancora migrato tutto perché alcune sono davvero, ma davvero complesse, anche per me. 
I contatti
Tutte le informazioni per contattarmi, sostenere il podcast, compresi tutti i link di cui ho parlato in puntata li trovate su www.pilloledib.it
Mi trovate su twitter come pilloledibit o cesco_78 oppure via mail scrivendo a pilloledibit@gmail.com. Il gruppo telegram è comunque il miglior modo per partecipare.
Se volete donare qualcosa potete usare Paypal o Satispay, se donate più di 5€ vi spedisco gli adesivi, se vi abbonate a 5€ al mese vi mando la tessera numerata e arriveranno contenuti esclusivi.
Se volete, potete persino donare in bitcoin, il link a borsellino lo trovate sul sito
Grazie a chi ha contribuito!
Ho appena speso 160€ per rinnovare Spreaker, mettetevi una mano sulla coscienza, o in tasca, o sul conto Paypal, grazie di cuore, davvero.

Se volete una consulenza tecnica in campo informatico trovate le informazioni su www.iltucci.com/consulenza e se volete sponsorizzare una puntata del podcast, le informazioni sono su www.pilloledib.it/sponsor


Il tip

Ne ho parlato già in puntata, quindi ve la propongo qui: l’app authy è la manna dal cielo per la gestione dei codici per l’autenticazione a due fattori. Genera le password che cambiano regolarmente, dette TOTP, l’acronimo sta per Time based One Time Password, quindi password usabili una sola volta che cambiano nel tempo.
Scansiona i QR code proposti dai vari servizi, registra gli account e vi permette l’accesso.
L’apertura dell’app può essere bloccata con un PIN o con l’impronta e soprattutto permette il backup e la replica dei codici necessari ai vari account, in modo che se vi si rompe o vi rubano il telefono non dovete diventare matti a gestire l’autenticazione a due fattori senza il secondo fattore.

Bene è proprio tutto, non mi resta che salutarvi e darvi appuntamento alla prossima puntata, come al solito il lunedì mattina.

Ciao!