2FA - Richiesta secondo fattore di autenticazione

ATTENZIONE Una volta attivato il secondo fattore, ogni autenticazione effettuata via IdP INFN-AAI, richiederà due fattori. Potete scegliere il primo nel solito modo (username/password; X.509; Kerberos-GSSAPI; SPiD; CIE) ed il secondo sarà sempre il codice TOTP (Time-based One Time Password) generata dall'applicazione che avete scelto e nella quale attivato il token in fase di attivazione del secondo fattore.

ATTENZIONE Dopo 10 tentativi di autenticazione con OTP falliti, il sistema impedisce l'accesso. È necessario richiedere un reset del contatore di tentativi falliti inviando un mail ad aai-support@infn.it

Solo dipendenti, associati ed ospiti possono richiedere il secondo fattore.

Le applicazioni suggerite sono:

• privacyIDEA Authenticator: disponibile per iOS ed Android nei rispettivi store
• bitWarden: disponibile sia per mobile, che per desktop

ATTENZIONE Google Authenticator NON è supportata. Microsoft Authenticator NON deve essere usata (entrambre salvano la chiave in chiaro nelle loro cloud)

Per richiedere ed ottenere il secondo fattore di autenticazione è necessario collegarsi qui:

https://mfa.app.infn.it/

Dopo aver inserito le proprie credenziali nella classica finestra di Login INFN

Verrà chiesta la conferma di accesso

Ora potete richiedere il rilascio di un token.

Nella finestra selezionate: Enroll Token

Succesivamente specificare i seguenti valori:

Enroll a new token

1. TOTP: Time based One Time Password

Token data

1. OTP length: 6
2. Timestep: 30

e premere il pulsante Enroll Token

La videata successiva vi mostrerà il QR Code da importare nella vostra app ed anche "The OTP Key"

Per importare il QR nell'app di PrivacyIdea è sufficiente clickare sull'icona al centro ed inquadrare il QR Code

Selezionare: Set up TOTP

Permettere all'app di usare la fotocamera

Assegnare un nome al token e salvare

Successivamente il token salvato sarà visualizzato un questo modo:

Aprire Bitwarden installato del proprio browser e premere: + (Aggiungi elemento) Assegnare un nome al nuovo elemento (per esempio OTP INFN) ed inserire campo: Chiave di autenticazione (TOTP) la stringa formata dalla concatenazione di:

• otpauth://totp/?secret=
• <La Chiave OTP codificata BASE32>
• &algorithm=sha256&period=30&digits=6

La stringa così formata dovrà assomigliare quindi a:

  otpauth://totp/?secret=2UCHU2WHNR3S52W7Z6DRQ5XCGWQZ5XAFB6C3JD5F6DSJZ53TL5FA&algorithm=sha256&period=30&digits=6

infine premere: Salva

Ovviamente se nel passaggio descritto nella sezione "Token data" si sceglie un tempo di vita di 60 secondi, bisogna usare "period=60" nella stringa di cui sopra.

NOTA BENE: bitwarden NON supporta lunghezze del TOTP maggiori di 6

Successivamente per utilizzare, direttamente in una pagina web il secondo fattore di autenticazione, sarà sufficiente cercare il nome dell'elemento creato in precedenza, una volta trovato, premendo sul pulsante a forma di orologio, sarà possibile copiare il codice del secondo fattore per inserirlo dove richiesto.

MAI E POI MAI effettuare screen-shot del QR-code in quanto contiene il “seme” con il quale si genera la OPT (il token collegato al QR-code che vedete in queste slides è stato cancellato dal sistema)
NON usare le app che registrano il “seme” in chiaro nella loro cloud

1. Google Authenticator
2. Microsoft Authenticator

Proteggere il proprio smartphone con PIN o con accesso biometrico
Al momento del rilascio di un nuovo token il sistema avvisa il proprietario dell’account INFN-AAI inviando mail a tutti gli indirizzi e-mail registrati.
Se ricevete un mail e non siete stati voi a richiedere il token, qualcuno sta usando le vostre credenziali INFN-AAI