Autenticazione multifattoriale con Perfect Paper Passwords

Come impostare un sistema OTP (One Time Password) su WordPress in maniera semplice e veloce col plugin Perfect Paper Passwords.

Qualche mese fa ho scritto un post sul plugin One-Time Password che ha lo scopo di rendere più sicura l’autenticazione nella propria area amministrativa di WordPress mediante l’uso dell’omonima tecnica detta One-Time Password. In breve, con questo sistema possiamo autenticarci alla Bacheca di WordPress usando una password usa-e-getta che può sostituire la password di WordPress (ottimo in caso di utilizzo in un Internet Cafè) o aggiungersi ad essa.

Oltre a questo plugin, ne esiste un altro che fa qualcosa di molto simile: Perfect Paper Passwords. Con esso avrete a disposizione una password usa-e-getta che si aggiunge (e non si sostituisce) a quella di WordPress.

Autenticazione forte

Sappiamo che per autenticarsi a un sistema informatico con ragionevole sicurezza è buona cosa utilizzare un’autenticazione a due fattori:

  • qualcosa che si sa (username e password)
  • qualcosa che si ha (un oggetto, che può essere un token, una smartcard, una chiavetta USB, la SIM del telefono, la biometria o anche un semplice taccuino con password usa-e-getta.

Questo è anche il sistema usato da molte banche per i loro servizi online. In questo modo, anche se un malintenzionato dovesse entrare in possesso delle vostre credenziali, non potrebbe accedere al sistema perché non ha il secondo fattore di autenticazione, il quale appunto cambia continuamente.

Questo plugin vi dà la possibilità di implementare in WordPress il sistema OTP in modo facile e gratuito.

Uso del plugin

Una volta attivato e impostato correttamente il plugin, ecco anzitutto come si presenterà la vostra area di login:

Dopo averlo installato e attivato, troverete le sue impostazioni nella pagina del vostro profilo. La scelta di posizionarlo lì è dettata dal fatto che il plugin permette, a ciascun utente registrato del vostro blog, un’autenticazione personalizzata tramite OTP. Ciascuno, quindi, potrà scegliere se attivare per il proprio profilo questo tipo di autenticazione o meno. La schermata della parte di questa pagina che ci interessa è la seguente (fare clic per ingrandire l’immagine):

Attivate il checkbox, scegliete la lunghezza della OTP 1, inserite una frase (non limitatevi a una semplice password) che dovete conoscere solo voi e fate clic sul pulsante Aggiorna profilo che sta a fondo pagina. La sezione della pagina si presenterà più o meno così (fare clic per ingrandire l’immagine):

Troverete una sequenza di lettere e numeri nel campo Chiave di sequenza (Sequence Key): copiatela e andate su https://www.grc.com/ppp.htm per completare i passaggi. Da questa pagina di GRC otterremo un One-Time Pad, cioè un foglio con alcune mini password.

Inserite anzitutto in questo box la chiave di sequenza copiata poco fa:

Scegliete la lunghezza della OTP:

e lasciate tutto il resto come si trova. Cambiate, se lo volete, il nome che verrà stampato in cima al taccuino:

In fondo alla pagina premete il pulsante finale:

Vi apparirà la pagina finale con il vostro taccuino di password usa-e-getta:

Stampatelo, ritagliatelo tenendo assieme i tre blocchi e piegatelo: vi verrà in un formato carta di credito. Conservatelo con cura. Potete anche stamparlo in PDF e conservarlo in un luogo sicuro, se volete usare il copia e incolla.

Mettete ora alla prova il plugin, uscendo dalla bacheca. Quando vi autenticherete troverete la schermata che vi ho già presentato:

Come vedete, oltre alle solite credenziali, il sistema vi chiederà la one-time password. La scritta

Codice: C2 Card: 1

vi indica quale OTP inserire fra quelle che avete voi. In questo caso sta chiedendo la C2 del foglio 1, visto che le precedenti le avevamo già usate:

Se qualcosa va storto

Come per qualunque plugin, se non riuscite ad autenticarvi, accedete via FTP al vostro dominio e rinominate la directory del plugin.

Quale plugin utilizzare

È più una scelta personale, tenendo conto anche delle proprie esigenze. Il plugin One-Time Password si presenta con funzioni più ampie (potete, ad esempio, far sì che venga immessa una OTP per compiere determinate azioni amministrative) e non necessita di siti esterni per funzionare; inoltre è ancora più sicuro dell’altro in ambienti di cui non ci si fida (il famoso Internet Cafè), perché potete disabilitare la password di WordPress. Il plugin che abbiamo visto, invece, è più semplice nelle sue opzioni, senza che questo pregiudichi la sua sicurezza; solo che il primo ha indubbiamente qualche punto a suo vantaggio se si hanno determinate esigenze.

Per approfondire

L’autore del plugin è Henrik Schack, danese, e nel suo blog trovate la pagina dove lo presenta.

Per quanto riguarda Perfect Paper Passwords, Steve Gibson spiega i dettagli nelle pagine dedicate. In fondo a essa ci sono ulteriori link.

Photo courtesy: Modern Relics, Padlocks, CC by.

Note

  1. Sappiate che già con 4 caratteri avrete a disposizione 16.777.216 combinazioni possibili, più che sufficienti per garantirvi un’adeguata sicurezza. I token delle banche posso fornire al massimo 1.000.000 di combinazioni (6 cifre da 000 000 a 999 999).

Autore: Aldo Latino

Aldo Latino usa con entusiasmo Linux nella distribuzione Ubuntu, è un appassionato di WordPress e si diletta a fare il blogger. Ha anche una lista dei desideri. Per altre informazioni visita la sua .

Un pensiero riguardo “Autenticazione multifattoriale con Perfect Paper Passwords”

I commenti sono chiusi