Tenendo bene a mente il fatto che il secondo fattore di autenticazione prova a rispondere ad un problema di sicurezza informatica, ci sono molte applicazioni che possono essere utilizzate. In particolare, tra tutte quelle che supportano l'algoritmo di cifratura SHA-256, abbiamo testato le tre indicate di seguito, elencandole in ordine di sicurezza, considerando il rischio, le minacce e le possibili mitigazioni.

• privacyIDEA Authenticator: disponibile solo per mobile (iOS ed Android).
• Ente Auth: multi piattaforma. È consigliata anche del CERN, cosa che può rendere la vita meno difficile, almeno per gli utenti CERN
• Bitwarden: disponibile sia per mobile, che per desktop solo se collegata ad un account di tipo "self-hosted" definito su https://vault.infn.it/

Di seguito le istruzioni dettagliate su come installare e configurare le ultime due applicazioni dell'elenco in modo che possano generare correttamente la Time-based One Time Password (TOTP) da fornire al sistema di autenticazione.

AVVISO IMPORTANTE
E' possibile che queste istruzioni vengano modificate per introdurre miglioramenti e precisazioni. Le principali differenze con le versioni precedenti verranno opportunamente evidenziate. Consigliamo di controllarle periodicamente.

PrivacyIdea Authenticator, disponibile per iOS ed Android nei rispettivi store, è una applicazione "sand-alone" che NON offre la possibilità di condividere la configurazione tra più device e di fatto non ha bisogno di configurazione.

L'unica operazione da fare una volta installata l'applicazione sul proprio smartphone, potrebbe essere quella di configurare la lingua ed abilitare l'accesso alla webcam per l'import del token via QR-code.

Ente Auth è una applicazione gratuita ed Open Source, disponibile per tutte le architetture sia mobile che PC.

Si può scaricare l'installer sia dalla home page di Ente Auth che da github (espandere il paragrafo "Assets")

Eseguire l'applicazione ed entrare senza backup (Use without backups)

E' essenziale mettere in sicurezza l'applicazione, proteggendo l'accesso. L'applicazione infatti può essere protetta da PIN, dalla stessa protezione di accesso del device (tipicamente informazioni di tipo biometrico) o da password.

Qui di seguito mostriamo come proteggere l'app via PIN.

Cliccare sulle tre righe orizzontali in alto a sinistra (apri menu di navigazione)
selezionare Security → App Lock

Spostare il cursore abilitando "App Lock" e selezionare Pin Lock

Vi verrà chiesto di settare il PIN e di confermarlo

Alla fine avrete questa schermata che confermerà che avete bloccato l'app

Bitwarden è in realtà un sistema di gestione delle password che ha anche la capacità di generare TOTP. La generazione di TOTP è a pagamento se si sceglie di collegare l'applicazione ad un account definito su bitwarden.com o bitwarden.eu, mentre è gratuita se si associa l'applicazione ad un account di tipo "self-hosted". I Servizi Nazionali della CCR erogano un servizio di "self-hosting" compatibile con bitwarden, accessibile via https://vault.infn.it

Per la configurazione del proprio "vault" personale nell'infrastruttura dei Servizi Nazionali, si rimanda alla quickstart o alle più complete guide e pillole formative prodotte dai gestori del servizio.

Qui vogliamo evidenziare un paio di aspetti che sono di cruciale importante dal punto di vista della sicurezza informatica: Separazione dei fattori e Master-Password.

Sebbene sia tecnicamente possibile e molto comodo utilizzare il "vault" INFN (sia direttamente via web che attraverso una app Bitwarden) per memorizzare sia le proprie password che il segreto per ottenere la TOTP, memorizzare entrambi i fattori di autenticazione (password INFN-AAI e seme per TOTP) inficia il concetto stesso di doppio fattore e quindi è una pratica da considerarsi VIETATA.

Per questo motivo il suggeriamo di utilizzare PrivacyIDEA Authenticator o Ente Auth per le TOTP e vault (con o senza Bitwarden) per la gestione delle password.

Il DB di vault è protetto con cifratura a chiave simmetrica, la cui chiave è una "Master-Password" che dovete scegliere in fase di configurazione iniziale.

La Master-Password deve essere una password:

• molto lunga
• facilmente memorizzabile
• differente da qualunque altra vostra password.

Non è strettamente necessario comporla usando differenti set di caratteri (una maiuscola, una minuscola, un numero, 3 code di rospo, un salto sul piede sinistro…) quanto la lunghezza.

Una master-password estremamente buona (con una entropia maggiore di 80 bit) potrebbe essere, se non fosse scritta qui, ad esempio la concatenazione di 5 parole della lingua italiana prese a "caso" (in realtà usando un criterio che solo voi conoscete) (DivinaTravoltiRododendroMeravigliaoBasta). L'importante che sia lunga e che voi la ricordiate facilmente.