====== 2FA - Richiesta secondo fattore di autenticazione  ======

**ATTENZIONE** Una volta attivato il secondo fattore, ogni autenticazione effettuata via IdP INFN-AAI, richiederà due fattori. Potete scegliere il primo nel solito modo (username/password; X.509; Kerberos-GSSAPI; SPiD; CIE) ed il secondo sarà sempre il codice TOTP (Time-based One Time Password) generata dall'applicazione che avete scelto e nella quale attivato il token in fase di attivazione del secondo fattore.

**ATTENZIONE** Dopo 10 tentativi di autenticazione con OTP falliti, il sistema impedisce l'accesso. È necessario richiedere un reset del contatore di tentativi falliti inviando un mail ad aai-support@infn.it

===== Prerequisiti =====

==== Ruolo attivo ====

Solo dipendenti, associati ed ospiti possono richiedere il secondo fattore.

==== Applicazione ====

Le applicazioni suggerite sono:
  * privacyIDEA Authenticator: disponibile per iOS ed Android nei rispettivi store
  * bitWarden: disponibile sia per mobile, che per desktop

**ATTENZIONE** Google Authenticator NON è supportata. Microsoft Authenticator NON deve essere usata (entrambre salvano la chiave in chiaro nelle loro cloud)

===== Abilitazione del secondo fattore =====

Per richiedere ed ottenere il secondo fattore di autenticazione è necessario collegarsi qui:

https://mfa.app.infn.it/

Dopo aver inserito le proprie credenziali nella classica finestra di Login INFN
{{ :cn:ccr:aai:doc:2fa:loginaai.png?200 | Login AAI}}

Verrà chiesta la conferma di accesso
{{ :cn:ccr:aai:doc:2fa:login.png?200 |Login}}

Ora potete richiedere il rilascio di un token.

Nella finestra selezionate: **Enroll Token**
{{ :cn:ccr:aai:doc:2fa:enrolltoken01.png?400 |Enroll Token}}

Succesivamente specificare i seguenti valori:

Enroll a new token
  - TOTP: Time based One Time Password
Token data
  - OTP length: 6
  - Timestep: 30
e premere il pulsante Enroll Token \\
{{ :cn:ccr:aai:doc:2fa:enrolltoken02.png?400 |Enroll Token}}

La videata successiva vi mostrerà il QR Code da importare nella vostra app ed anche "The OTP Key"
{{ :cn:ccr:aai:doc:2fa:enrolltoken03.png?400 |Enroll Token}}

===== Importare il QR =====
==== PrivacyIdea ====
Per importare il QR nell'app di PrivacyIdea è sufficiente clickare sull'icona al centro ed inquadrare il QR Code
{{ :cn:ccr:aai:doc:2fa:privacyideaapp.png?200 |PrivacyIdeaApp}}
==== Bitwarden ====

Selezionare: Set up TOTP
{{ :cn:ccr:aai:doc:2fa:bitwaredapp1.png?200 | App Bitwarden}}

Permettere all'app di usare la fotocamera
{{ :cn:ccr:aai:doc:2fa:bitwaredapp2.png?200 | App Bitwarden - Utilizzo fotocamera}}

Assegnare un nome al token e salvare
{{ :cn:ccr:aai:doc:2fa:bitwaredapp3.png?200 | App Bitwarden - Salvataggio token}}

Successivamente il token salvato sarà visualizzato un questo modo:
{{ :cn:ccr:aai:doc:2fa:bitwaredapp4.png?200 | App Bitwarden - Visualizzazione Token}}
===== Importare OTP Key =====
==== Bitwarden ====
Aprire Bitwarden installato del proprio browser e premere: + (Aggiungi elemento)
{{ :cn:ccr:aai:doc:2fa:bitwaredweb1.png?200 |Bitwarden Web}}
Assegnare un nome al nuovo elemento (per esempio OTP INFN) ed inserire campo: Chiave di autenticazione (TOTP) la stringa formata dalla concatenazione di:


  * %%otpauth://totp/?secret=%%
  * <La Chiave OTP codificata BASE32>
  * &algorithm=sha256&period=30&digits=6


La stringa così formata dovrà assomigliare quindi a:


<code>
  otpauth://totp/?secret=2UCHU2WHNR3S52W7Z6DRQ5XCGWQZ5XAFB6C3JD5F6DSJZ53TL5FA&algorithm=sha256&period=30&digits=6
</code>


infine premere: Salva

Ovviamente se nel passaggio descritto nella sezione "Token data" si sceglie un tempo di vita di 60 secondi, bisogna usare "period=60" nella stringa di cui sopra.

NOTA BENE: bitwarden NON supporta lunghezze del TOTP maggiori di 6

{{ :cn:ccr:aai:doc:2fa:bitwaredweb2.png?200 |Bitwarden Web}}
Successivamente per utilizzare, direttamente in una pagina web il secondo fattore di autenticazione, sarà sufficiente cercare il nome dell'elemento creato in precedenza, una volta trovato, premendo sul pulsante a forma di orologio, sarà possibile copiare il codice del secondo fattore per inserirlo dove richiesto.

{{ :cn:ccr:aai:doc:2fa:bitwaredweb2.png?200 |Bitwarden Web}}

===== Sicurezza =====

MAI E POI MAI effettuare screen-shot del QR-code in quanto contiene il “seme” con il quale si genera la OPT (il token collegato al QR-code che vedete in queste slides è stato cancellato dal sistema) \\
NON usare le app che registrano il “seme” in chiaro nella loro cloud \\
  - Google Authenticator
  - Microsoft Authenticator
Proteggere il proprio smartphone con PIN o con accesso biometrico \\
Al momento del rilascio di un nuovo token il sistema avvisa il proprietario dell’account INFN-AAI inviando mail a tutti gli indirizzi e-mail registrati.\\
Se ricevete un mail e non siete stati voi a richiedere il token, qualcuno sta usando le vostre credenziali INFN-AAI