[ImoLUG] 2FA

Matteo Sgalaberni sgala@sgala.com
Lun 21 Dic 2015 11:16:47 CET


> 0) nella sfiga che non possa avere il mio cellofono a portata di mano...
>     (furto, perdita oppure semplice dimenticanza in altro luogo) non
>     riusciro' ad accedere alle mie aree riservate fintanto che non ne
>     saro' ritornato in possesso. Giusto? :-(
normalmente chi ti fornisce un accesso con 2FA ti da anche dei meccanismi di accesso di backup, vedi google, dropbox.
Esempio: in genere ti danno delle chiavi OTP al rilascio dell'attivazione del 2FA da usare in caso di emergenza.
Google in realtà permette di abilitare più sistemi di 2FA in cascata cosi da usarli nel caso di rottura/malfunzionamento di uno (vedi google autenticator otp, SMS, Fido U2F, etc (https://www.google.com/landing/2step/features.html)

> 
> 1) se dispositivo di accesso e dispositivo sul quale viene inviato il
>     secondo fattore di autenticazione coincidono ... ha senso la 2FA?
l'idea alla base del 2FA a codici è che chi deve entrare deve possedere (oltre alla password statica), qualcosa che gli altri non hanno in mano (esempio uno strumento che genera chiavi temporanee e uniche riconoscibili da chi autentica come prodotte da chi deve entrare).
considera che chi ti da 2FA dovrebbe annullare l'OTP usata per evitare man in the middle, session hijacking, time warping e tanto altro...ognuno poi la implementa come vuole e quindi descrivere le criticità/pro/contro di ogni soluzione è un argomento un po' complesso e lungo.

> 2) premesso che oggidi' le aree riservate alle quali siamo iscritti
>      sono parecchie (almeno nel mio caso) abilitare la 2FA su tutti
>      i servizi comportera' una smanettamento (o smalettamento?)
>      in piu' considerevole ... o no?
direi che è assolutamente giusto e necessario usarle tutte come precauzione minima, anche se può sembrare scomodo e/o paranoico.
la probabilità che una password venga rubata oggidì è davvero alta.

> Che metodologie attuate Voi per la 2FA?

Io consiglio di usare tutte quelle implementate dai vendor/services disponibili per i servizi usati. Mi piacciono di più in genere i meccanismi che notificano in realtime il tentativo di accesso (vedi sms), hai il vantaggio di scoprire che qualcuno sta provando ad entrare (se non sei tu, scopri che ti hanno rubato la password e la stanno usando) e puoi sfruttare questa conoscenza per prendere provvedimenti (senza che entrino), chiaramente anche qui... vale finché non ti rubano il dispositivo con cui ricevi la notifica (cell?) o ti intercettano la notifica (sms?)...;) Con altri meccanismi (vedi google autenticator, fido u2f, chiavette che generano pin) se ti rubano il seme o l'autenticatore fisicamente potrebbero potenzialmente generare codici a tua insaputa... ma forse stiamo andando troppo nel dettaglio rispetto la tua domanda...

Ciao!

M.


Maggiori informazioni sulla lista ImoLUG