Table of Contents
2FA - Richiesta secondo fattore di autenticazione
ATTENZIONE Una volta attivato il secondo fattore, ogni autenticazione effettuata via IdP INFN-AAI, richiederà due fattori. Potete scegliere il primo nel solito modo (username/password; X.509; Kerberos-GSSAPI; SPiD; CIE) ed il secondo sarà sempre il codice TOTP (Time-based One Time Password) generata dall'applicazione che avete scelto e nella quale attivato il token in fase di attivazione del secondo fattore.
ATTENZIONE Dopo 10 tentativi di autenticazione con OTP falliti, il sistema impedisce l'accesso. È necessario richiedere un reset del contatore di tentativi falliti inviando un mail ad aai-support@infn.it
Prerequisiti
Ruolo attivo
Solo dipendenti, associati ed ospiti possono richiedere il secondo fattore.
Applicazione
Le applicazioni suggerite sono:
- privacyIDEA Authenticator: disponibile per iOS ed Android nei rispettivi store
- bitWarden: disponibile sia per mobile, che per desktop
ATTENZIONE Google Authenticator NON è supportata. Microsoft Authenticator NON deve essere usata (entrambre salvano la chiave in chiaro nelle loro cloud)
Abilitazione del secondo fattore
Per richiedere ed ottenere il secondo fattore di autenticazione è necessario collegarsi qui:
Dopo aver inserito le proprie credenziali nella classica finestra di Login INFN
Verrà chiesta la conferma di accesso
Ora potete richiedere il rilascio di un token.
Nella finestra selezionate: Enroll Token
Succesivamente specificare i seguenti valori:
Enroll a new token
- TOTP: Time based One Time Password
Token data
- OTP length: 6
- Timestep: 30
e premere il pulsante Enroll Token
La videata successiva vi mostrerà il QR Code da importare nella vostra app ed anche "The OTP Key"
Importare il QR
PrivacyIdea
Per importare il QR nell'app di PrivacyIdea è sufficiente clickare sull'icona al centro ed inquadrare il QR Code
Bitwarden
Permettere all'app di usare la fotocamera
Assegnare un nome al token e salvare
Successivamente il token salvato sarà visualizzato un questo modo:
Importare OTP Key
Bitwarden
Aprire Bitwarden installato del proprio browser e premere: + (Aggiungi elemento) Assegnare un nome al nuovo elemento (per esempio OTP INFN) ed inserire campo: Chiave di autenticazione (TOTP) la stringa formata dalla concatenazione di:
- otpauth://totp/?secret=
- <La Chiave OTP codificata BASE32>
- &algorithm=sha256&period=30&digits=6
La stringa così formata dovrà assomigliare quindi a:
otpauth://totp/?secret=2UCHU2WHNR3S52W7Z6DRQ5XCGWQZ5XAFB6C3JD5F6DSJZ53TL5FA&algorithm=sha256&period=30&digits=6
infine premere: Salva
Ovviamente se nel passaggio descritto nella sezione "Token data" si sceglie un tempo di vita di 60 secondi, bisogna usare "period=60" nella stringa di cui sopra.
NOTA BENE: bitwarden NON supporta lunghezze del TOTP maggiori di 6
Successivamente per utilizzare, direttamente in una pagina web il secondo fattore di autenticazione, sarà sufficiente cercare il nome dell'elemento creato in precedenza, una volta trovato, premendo sul pulsante a forma di orologio, sarà possibile copiare il codice del secondo fattore per inserirlo dove richiesto.
Sicurezza
MAI E POI MAI effettuare screen-shot del QR-code in quanto contiene il “seme” con il quale si genera la OPT (il token collegato al QR-code che vedete in queste slides è stato cancellato dal sistema)
NON usare le app che registrano il “seme” in chiaro nella loro cloud
- Google Authenticator
- Microsoft Authenticator
Proteggere il proprio smartphone con PIN o con accesso biometrico
Al momento del rilascio di un nuovo token il sistema avvisa il proprietario dell’account INFN-AAI inviando mail a tutti gli indirizzi e-mail registrati.
Se ricevete un mail e non siete stati voi a richiedere il token, qualcuno sta usando le vostre credenziali INFN-AAI