Password OTP (usa e getta) per WordPress

Se vi è mai capitato di voler accedere al vostro blog mentre vi trovavate in un ambiente non sicuro e non lo avete fatto perché giustamente non vi fidavate, sappiate che potete far uso del metodo della One Time Password (OTP), oggi disponibile anche per WordPress. Probabilmente conoscerete già questo sistema perché molte banche lo fanno usare ai loro clienti (mi riferisco a quelle specie di chiavette che generano numeri). In breve, si tratta di accedere a un ambiente amministrativo (nel nostro caso alla Bacheca di WordPress) usando non l’unica password che abbiamo precedentemente scelto noi, ma una password che può essere usata una sola volta, quindi una password “usa e getta”. La volta successiva che ci vogliamo autenticare alla Bacheca inseriremo un’altra password, diversa dalla precedente.

È evidente la scomodità di dover sempre digitare una password diversa e non memorizzabile, ma è un piccolo prezzo da pagare se si vuole accedere senza paura in ambienti non sicuri al pannello amministrativo di WordPress. Se il keylogger del PC condiviso che stiamo usando nell’Internet Café ha memorizzato la One Time Password, possiamo stare sicuri che essa è ormai inservibile.

Un sistema del genere certamente può dare una mano per aumentare la garanzia di sicurezza della nostra Bacheca anche se vi accediamo sempre e solo dalla nostra Linux box (su cui non girano malware di sorta), ma tornerà utile soprattutto a chi è sempre in viaggio e fa uso del PC in ambienti non adeguatamente protetti (o di cui noi non ci fidiamo).

Il plugin

Il plugin si chiama One-Time Password ed è compatibile con WordPress 3.1: è sufficiente installarlo al solito modo dal pannello di amministrazione. Una volta installato, sarete avvisati di impostare la nuova sequenza di password ed eventualmente anche le preferenze. Questo è uno screenshot della pagina di amministrazione del plugin:

La pagina delle preferenze di One-Time Password

La pagina delle preferenze di One-Time Password

Creare la lista delle OTP

Andiamo alle preferenze del plugin: quello che ci interessa, in questo momento, è la loro prima parte. Inseriamo anzitutto la nostra passphrase, che dovrà assolutamente restare nascosta: scegliamola con cura. Lasciate non selezionato “Pass-phrase is a One-Time Password” e scegliete quante password volete generare. Generate quindi il vostro seed (il “seme”). Scegliete infine l’algoritmo di hash, dove vi consiglio di usare SHA-1. Fate infine clic su “Generate”. Il sistema vi genererà una lista di password, tante quante ne avevate indicato prima. Ecco un esempio:

La lista delle password generate

La lista delle password generate

In basso trovate un pulsante che vi consentirà la stampa della lista. Si può anche stampare su PDF e portarsi il file su una chiavetta. È superfluo dire quanto debbano restare custoditi foglio e/o chiavetta. Per maggiore sicurezza, al momento della stampa togliete l’indicazione dell’URL dalle preferenze di stampa del vostro browser: in Firefox c’è una scheda apposita nella finestra di stampa.

Come si usa

Provatelo subito, facendo logout dal pannello. Alla schermata di login inserite il vostro nome utente e, non appena fate clic sul campo della password, apparirà subito sotto il challenge per l’inserimento della OTP:

La riga vi dirà l’algoritmo di hash utilizzato, il numero della password da inserire e il seed (il seme) utilizzato. Prendete la stampa di prima e inserite (in questo caso) la password numero 49: potete inserire sia il valore della colonna Hex che quello della colonna Word. Se usate il valore della colonna Word, non è necessario usare le maiuscole, ma dovete rispettare gli spazi tra ogni parola.

A questo punto sarete entrati nella Bacheca di WordPress. La password 49 è già stata usata e non può essere più usata: potete fare anche una prova per verificarlo. Se farete nuovamente logout, vedrete che il numero indicato qui sopra dalla freccia rossa sarà scalato di uno, quindi 48, e così via ogni volta che farete logout.

In prossimità della fine delle password, conviene che vi ricreiate una nuova lista, o comunque fatelo ogni volta che lo ritenete opportuno o quando pensate che la lista non possa più essere sicura.

Usare il plugin con un generatore OTP su palmare

Per ulteriore sicurezza potete usare un generatore OTP sul vostro cellulare o palmare, un po’ alla maniera di quelle chiavette che le banche forniscono ai loro clienti, evitando così di dover stampare su carta o su PDF la lista. Ne esistono per Android, per iPhone e anche per dispositivi che supportano JavaME come il BlackBerry. Io ho provato il programma sul BlackBerry e funziona benissimo. In questo caso, se non usate cioè la lista ma un programma apposito, dovrete ricordare la passphrase: il telefono, infatti, non conserva alcuna lista, ma genera la password necessaria all’istante ogni volta che vi serve. Ecco come, più o meno, si presenta:

Disabilitare la password di WordPress

A meno che non usiate una password estremamente lunga e complessa composta da tutti i tipi di caratteri e spazi, è possibile (e direi auspicabile) disabilitare la password unica di WordPress in modo da forzare l’uso della sola OTP. Trovate questa opzione nelle preferenze del plugin, in fondo.

Trovate anche la possibilità di richiedere l’immissione di una OTP per ogni azione amministrativa che si compie nel pannello di WordPress.

Se qualcosa va storto

Se non riuscite ad autenticarvi nel vostro blog per una qualsiasi ragione (avete pasticciato con la lista o sembra che il plugin faccia le bizze), disabilitate il plugin via FTP rinominando (o cancellando) la cartella che lo contiene. A questi punto potrete tornare ad autenticarvi con la vostra solita password, anche se nel plugin avevate disabilitato l’autenticazione con normale password.

Se pensate che usare questo sistema sia più faticoso (e avete ragione, ma la sicurezza si paga), sarete obbligati a usare il normale sistema nome-utente/unica-password di WordPress e sono sicuro che sarà del tipo SjM4c2aj^%8zVpAaHs795*792, che cambierete con costanza ogni 3 mesi e che quindi vi obbligherà a far uso di un degno gestore di password. O no?

Photo courtesy: Wikipedia, OneTime pad excerpt, CC by-sa.