Autenticazione a due fattori
Ovvero oltre alla password è necessario avere anche un dispositivo fisico!
Comodo e ad elevatissima sicurezza.
Google colpisce ancora con un'app per Android: Google Authenticator.
Avete presente quegli affarini con display forniti dalle banche per operare online? Quelli col codice che cambia ogni 30 secondi o ad ogni pressione di un tasto? Ecco. Google Authenticator fa esattamente la stessa cosa! Ma senza un ulteriore badanaglio da portarsi in giro!
Qui ho trovato istruzioni piuttosto dettagliate per l'installazione. Ma alla fine tutto si riduce a:
- installazione di un modulo per PAM (per Mandriva ho utilizzato quello di Fedora 17, già in rpm)
- aggiunta di una riga nel file pam del servizio che si vuole proteggere
- generazione del file col segreto nella propria home
- caricamento del segreto sul cellulare
La riga che si aggiunge alla configurazione di PAM può essere "required" per una vera "two factor authentication" o "sufficient" per poter accedere solo col codice. In questo caso ovviamente la riga
auth sufficient pam_google_authenticator.so
va prima di quella relativa a pam_tcb.so (o pam_winbind.so, o ogni altro oracolo di autenticazione che si stia usando).
Attenzione anche a come trasferite il segreto sul cellulare: il link visualizzato da google-authenticator passa al web service di Google il segreto per poter generare il barcode 2D. Se siete particolarmente paranoici potreste anche pensare che Google se li memorizzi...
