ATTENZIONE Una volta attivato il secondo fattore, ogni autenticazione effettuata via IdP INFN-AAI, richiederà due fattori. Potete scegliere il primo nel solito modo (username/password; X.509; Kerberos-GSSAPI; SPiD; CIE) ed il secondo sarà sempre il codice TOTP (Time-based One Time Password) generata dall'applicazione che avete scelto e nella quale attivato il token in fase di attivazione del secondo fattore.
ATTENZIONE Dopo 10 tentativi di autenticazione con OTP falliti, il sistema impedisce l'accesso. È necessario richiedere un reset del contatore di tentativi falliti inviando un mail ad aai-support@infn.it
Solo dipendenti, associati ed ospiti possono richiedere il secondo fattore.
Le applicazioni suggerite sono:
ATTENZIONE Google Authenticator NON è supportata. Microsoft Authenticator NON deve essere usata (entrambre salvano la chiave in chiaro nelle loro cloud)
Per richiedere ed ottenere il secondo fattore di autenticazione è necessario collegarsi qui:
Dopo aver inserito le proprie credenziali nella classica finestra di Login INFN
Verrà chiesta la conferma di accesso
Ora potete richiedere il rilascio di un token.
Nella finestra selezionate: Enroll Token
Succesivamente specificare i seguenti valori:
Enroll a new token
Token data
e premere il pulsante Enroll Token
La videata successiva vi mostrerà il QR Code da importare nella vostra app ed anche "The OTP Key"
Per importare il QR nell'app di PrivacyIdea è sufficiente clickare sull'icona al centro ed inquadrare il QR Code
Permettere all'app di usare la fotocamera
Assegnare un nome al token e salvare
Successivamente il token salvato sarà visualizzato un questo modo:
Aprire Bitwarden installato del proprio browser e premere: + (Aggiungi elemento) Assegnare un nome al nuovo elemento (per esempio OTP INFN) ed inserire campo: Chiave di autenticazione (TOTP) la stringa formata dalla concatenazione di:
La stringa così formata dovrà assomigliare quindi a:
otpauth://totp/?secret=2UCHU2WHNR3S52W7Z6DRQ5XCGWQZ5XAFB6C3JD5F6DSJZ53TL5FA&algorithm=sha256&period=30&digits=6
infine premere: Salva
Ovviamente se nel passaggio descritto nella sezione "Token data" si sceglie un tempo di vita di 60 secondi, bisogna usare "period=60" nella stringa di cui sopra.
NOTA BENE: bitwarden NON supporta lunghezze del TOTP maggiori di 6
Successivamente per utilizzare, direttamente in una pagina web il secondo fattore di autenticazione, sarà sufficiente cercare il nome dell'elemento creato in precedenza, una volta trovato, premendo sul pulsante a forma di orologio, sarà possibile copiare il codice del secondo fattore per inserirlo dove richiesto.
MAI E POI MAI effettuare screen-shot del QR-code in quanto contiene il “seme” con il quale si genera la OPT (il token collegato al QR-code che vedete in queste slides è stato cancellato dal sistema)
NON usare le app che registrano il “seme” in chiaro nella loro cloud
Proteggere il proprio smartphone con PIN o con accesso biometrico
Al momento del rilascio di un nuovo token il sistema avvisa il proprietario dell’account INFN-AAI inviando mail a tutti gli indirizzi e-mail registrati.
Se ricevete un mail e non siete stati voi a richiedere il token, qualcuno sta usando le vostre credenziali INFN-AAI