Strumenti Utente

Strumenti Sito


howto:2_factor_authentication

Autenticazione in 2 passi

L'autenticazione in due passi è un ottimo modo per migliorare la sicurezza dei tuoi account/laptop/server.

Usando una app come |Google authenticator puoi avere sul tuo telefono un codice di autenticazione nuovo ogni 30 secondi.

Preparare il pc

Per usare l'autenticazione in due passi usiamo il pacchetto libpam-google-authenticator.

Una volta installato dobbiamo configurare ed accoppiare pc e telefono.

Nel file /etc/pam.d/common-auth inserisci la riga

auth required pam_google_authenticator.so

sopra alla riga

auth [success=1 default=ignore] pamunix.so nulloksecure

Accoppiare gli account

Una volta installato e configurato nessun utente senza un codice OTP può effettuare il login, quindi adesso dobbiamo configurare tutti gli utenti del sistema.

Il comando google-authenticator comincia la procedura per accoppiare account e generatore di password.

La procedura è un set di domande a cui l'utente deve rispondere y o n .

  • Do you want me to update your “/home/jlwallen/.google_authenticator” file (y/n) y
  • Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n)
  • By default, tokens are good for 30 seconds, and to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of 1:30min to about 4min. Do you want to do so (y/n)
  • If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n)

Le ultime due domande non hanno come risposta necessaria y ma se l'orario sul computer è sempre sincronizzato puoi mettere y alla terza; per la quarta è sempre meglio mettere y.

Alla fine della procedura verrà presentata una chiave segreta di 16 cifre e 5 codici usa e getta di emergenza, se perdi il generatore di codici potrai sempre usare quelli di emergenza.

La chiave segreta di 16 cifre serve a impostare un account nella app Google authenticator, usala e la app comincerà a generare i codici usa e getta.

Se hai più di un account sul computer non effettuare il logout altrimenti non potrai più fare il login su quelli non ancora configurati.

Per configurare anche gli utenti rimanenti (ad esempio l'utente pippo) usa il comando sudo su pippo. Una volta inserito il codice di 6 cifre puoi ripetere l'operazione, stavolta come l'utente pippo e configurare il suo telefono.

howto/2_factor_authentication.txt · Ultima modifica: 2016/06/07 09:50 da edoput