Differences

This shows you the differences between two versions of the page.

--- cn:ccr:aai:doc:2fa:app [2025/02/27 16:30] – enrico@infn.it
+++ cn:ccr:aai:doc:2fa:app [2025/03/13 13:28] (current) – monducci@infn.it
@@ Line 1: / Line 1: @@
+====== Applicazioni supportate ======
+Tenendo bene a mente il fatto che il secondo fattore di autenticazione prova a rispondere ad un problema di sicurezza informatica, ci sono molte applicazioni che possono essere utilizzate. In particolare, tra tutte quelle che supportano l'algoritmo di cifratura SHA-256, abbiamo testato quelle indicate di seguito.
+  * **[[https://netknights.it/en/products/privacyidea-authenticator-app/|privacyIDEA Authenticator]]**: disponibile solo per mobile (iOS ed Android). Probabilmente la soluzione più semplice.
+  * **[[https://ente.io/auth/|Ente Auth]]**: multi piattaforma. È consigliata anche del CERN.
+  * **[[https://bitwarden.com|Bitwarden]]**: disponibile sia per mobile che per desktop. \\ **Solo se collegata ad un account di tipo "self-hosted" definito su https://vault.infn.it/ **
+  * **[[https://getaegis.app/|Aegis Authenticator]]**: disponibile solo per Android. Utilizzata anche dal CERN. <color #ed1c24>-->> **Aggiunta in data 13/03/2025**</color>
+Di seguito istruzioni dettagliate.
+<color #ed1c24>**AVVISO IMPORTANTE**</color> \\
+E' possibile che queste istruzioni vengano modificate per introdurre miglioramenti e precisazioni. Le principali differenze con le versioni precedenti verranno opportunamente evidenziate. Consigliamo di controllarle periodicamente.
+===== PrivacyIdea Authenticator ======
+PrivacyIdea Authenticator, disponibile per iOS ed Android nei rispettivi store, è una applicazione "stand-alone" che **NON** offre la possibilità di condividere la configurazione tra più device e di fatto non ha bisogno di configurazione.
+L'unica operazione da fare una volta installata l'applicazione sul proprio smartphone, potrebbe essere quella di configurare la lingua ed abilitare l'accesso alla webcam per l'import del token via QR-code.
+===== Ente Auth ======
+{{:cn:ccr:aai:doc:2fa:ente_auth_logo.png?40 |}}
+**[[https://ente.io/auth/|Ente Auth]]** è una applicazione gratuita ed Open Source, disponibile per tutte le architetture sia mobile che PC.
+==== Download  & Install ====
+Si può scaricare l'installer sia dalla home page di [[https://ente.io/auth/|Ente Auth]] che da [[https://github.com/ente-io/ente/releases|github]] (espandere il paragrafo "Assets")
+==== Configurazione ====
+Eseguire l'applicazione ed entrare senza backup (Use without backups)
+{{ :cn:ccr:aai:doc:2fa:enteauth01.png?200 | EnteAuth}}
+E' essenziale mettere in sicurezza l'applicazione, proteggendo l'accesso. L'applicazione infatti può essere protetta da PIN, dalla stessa protezione di accesso del device (tipicamente informazioni di tipo biometrico) o da password.
+Qui di seguito mostriamo come proteggere l'app via PIN.
+Cliccare sulle tre righe orizzontali in alto a sinistra (apri menu di navigazione) \\
+selezionare Security -> App Lock
+{{ :cn:ccr:aai:doc:2fa:enteauth02.png?200 | EnteAuth}}
+Spostare il cursore abilitando "App Lock" e selezionare Pin Lock
+{{ :cn:ccr:aai:doc:2fa:enteauth03.png?200 | EnteAuth}}
+Vi verrà chiesto di settare il PIN e di confermarlo
+{{:cn:ccr:aai:doc:2fa:enteauth04.png?200| EnteAuth}}{{:cn:ccr:aai:doc:2fa:enteauth05.png?200| EnteAuth}}
+Alla fine avrete questa schermata che confermerà che avete bloccato l'app
+{{ :cn:ccr:aai:doc:2fa:enteauth06.png?200 | EnteAuth}}
+===== Bitwarden ======
+Bitwarden è in realtà un sistema di gestione delle password che ha anche la capacità di generare TOTP. La generazione di TOTP è a pagamento se si sceglie di collegare l'applicazione ad un account definito su bitwarden.com o bitwarden.eu, mentre è gratuita se si associa l'applicazione ad un account di tipo "self-hosted". I Servizi Nazionali della CCR erogano un servizio di "self-hosting" compatibile con bitwarden, accessibile via https://vault.infn.it
+Per la configurazione del proprio "vault" personale nell'infrastruttura dei Servizi Nazionali, si rimanda alla [[https://l.infn.it/vault-infn|quickstart]] o alle più complete  [[https://servizinazionali.infn.it/vault-content/|guide e pillole formative]] prodotte dai gestori del servizio.
+Qui vogliamo evidenziare un paio di aspetti che sono di cruciale importante dal punto di vista della sicurezza informatica: Separazione dei fattori e Master-Password.
+==== Separazione dei fattori =====
+Sebbene sia tecnicamente possibile e molto comodo utilizzare il "vault" INFN (sia direttamente via web che attraverso una app Bitwarden) per memorizzare sia le proprie password che il segreto per ottenere la TOTP, memorizzare entrambi i fattori di autenticazione (password INFN-AAI e seme per TOTP) inficia il concetto stesso di doppio fattore e quindi è una pratica da considerarsi **VIETATA**.
+Per questo motivo il suggeriamo di utilizzare PrivacyIDEA Authenticator o Ente Auth per le TOTP e vault (con o senza Bitwarden) per la gestione delle password.
+==== Master-Password =====
+Il DB di vault è protetto con cifratura a chiave simmetrica, la cui chiave è una "Master-Password" che dovete scegliere in fase di configurazione iniziale.
+La Master-Password deve essere una password:
+  * molto lunga
+  * facilmente memorizzabile
+  * differente da qualunque altra vostra password.
+Non è strettamente necessario comporla usando differenti set di caratteri (una maiuscola, una minuscola, un numero, 3 code di rospo, un salto sul piede sinistro...) quanto la lunghezza.
+Una master-password estremamente buona (con una entropia maggiore di 80 bit) potrebbe essere, **se non fosse scritta qui**, ad esempio la concatenazione di 5 parole della lingua italiana prese a "caso" (in realtà usando un criterio che solo voi conoscete) (DivinaTravoltiRododendroMeravigliaoBasta).  L'importante che sia lunga e che voi la ricordiate facilmente.