Info "verifica due passaggi"

[AmigOS]

Hola,
io per vari siti di gaming e altro, uso la verifica a 2 passaggi di
GOOGLE AUTENTICATOR

Ora stavo pensando ad un problema che mi era già successo, ovvero che
avevo cambiato cell e erroneamente "piallato" il precedente e solo
dopo mi ero accorto che reinstallando l'app te la piji in culo, ovvero
non puoi più utilizzare le precendenti verifiche, perché è necessario
prima fare un "passaggio di consegne" usando entrambe le app dei due
cell.

Ora a suo tempo l'usavo pochissimo dunque limitai i danni. Oggi un po'
meno. Ovviamente se cambierò cell, farò il passaggio da app ad app,
però... se il cell si dovesse rompere, sarebbero abbastanza cazzi.

La domanda è: visto che esistono altre app tipo AUTENTICATOR di
Google, che voi sappiate, anche quelle hanno questa "features" ?

[Tasslehoff Burrfoot]

Per evitare questo genere di problemi io di solito uso un plugin di
keepass (Keeotp2) che permette di salvare la chiave otp sul tuo database
keepass.

In questo modo se vuoi puoi usare keepass come generatore di codice otp
per l'autenticazione, ma puoi anche usare il codice otp tramite
qualsiasi app (tipo Google Authenticator).

Per fare questo puoi creare un record su Google Authenticator tramite la
chiave otp, oppure generare un qr code da keepass e leggerlo tramite app
su smartphone.

In questo modo non dovrai più temere alcun passaggio da smartphone a
smartphone.

Ci sono alcuni casi (stronzi ma per fortuna rari) dove attivando la 2FA
il sito di turno non presenta la chiave otp ma solo il qr code, in
questo caso ti basta scansionare il codice qr tramite keepass (mediante
il plugin Keeotp2) e a quel punto potrai visualizzare la chiave da
conservare come meglio credi.

Spero ti possa essere utile.

Ciao!

Tas

[Evil Boomer Santa Claus]

On Sat, 19 Mar 2022 20:46:18 +0100, AmigOS <ami...@amigos.it> wrote:

>
>Hola,
>io per vari siti di gaming e altro, uso la verifica a 2 passaggi di
>GOOGLE AUTENTICATOR

Io uso Authy che ho sia sul PC che sullo Smartphone e so che ho
salvato la chiave di backup per riavere tutto, ma in effetti con
Google Autenticator ho avuto pure io problemi di quel genere e non
ricordo come avevo risolto, ma ho solo 4-5 cose su quel Google Auth.

Ma se non sbaglio puoi stamparti le chiavi usa e getta per reimportare
il database, ora in effetti dovrei controllare un'attimo come fare sta
cosa...... che non si sa mai in effetti!.

Che alla fine non puoi avere lo stesso AUTH su piu' devices, al
contrario di Authy. Forse il problema l'avevo avuto quando ho provato
a mettere Google Auth anche sul Tablet come backup in caso di problemi
e mi diceva che non potevano essere attivi entrambi.... uhm

[AmigOS]

Mmm... non ci ho capito molto, poi me lo rileggo con più calma e vedo
se rsolvo con questo.
tx

[AmigOS]

On Sun, 20 Mar 2022 05:09:48 +0100, Evil Boomer Santa Claus
<evilboom...@gmail.com> wrote:

>On Sat, 19 Mar 2022 20:46:18 +0100, AmigOS <ami...@amigos.it> wrote:
>
>>
>>Hola,
>>io per vari siti di gaming e altro, uso la verifica a 2 passaggi di
>>GOOGLE AUTENTICATOR
>
>Io uso Authy

Potrebbe essere una soluzione.

[Soprano]

On 19.03.2022 20:46:18 +01:00, AmigOS wrote:
> La domanda è: visto che esistono altre app tipo AUTENTICATOR di
> Google, che voi sappiate, anche quelle hanno questa "features" ?

Vuoi avere qualcosa che va contro il concetto stesso di 2FA: il fatto che
la seconda autenticazione possa avvenire solo sul device che hai
registrato quando ti sei loggato la prima volta. Se dai la possibilità di
salvare le chiavi sul "cloud" e importarle su un secondo telefono senza il
"passaggio di consegne" di cui parlavi, il 2FA muore e la sua sicurezza
pure. Già solo la presenza di quel "passaggio di consegne" è discutibile
dal punto di vista della sicurezza, FreeOTP non permette nemmeno quello.
--
Soprano

[AmigOS]

On Sun, 20 Mar 2022 10:27:48 -0000 (UTC), "Soprano" <r...@red.it> wrote:

>Vuoi avere qualcosa che va contro il concetto stesso di 2FA: il fatto che
>la seconda autenticazione possa avvenire solo sul device che hai
>registrato quando ti sei loggato la prima volta.

Diciamo che ero convinto che il 2' passaggio fosse una verifica sul
numero di telefono dato, più che il device fisico.

E a prescindere da come la si veda, è un problema serio.
Se si rompe il cellulare, si costretti a contattare uno ad uno tutti i
siti interessati per "resettare" il tutto. Una bella rottura di
coglioni.

Intanto mi sono accorto che una vittima è il client di R* che
sicuramente avevo attivato questa protezione prima del mio cambio di
cellulare e dunque ora li ho contattati e sono in attesa di sblocco.

[Fabrizio FiFaGi]

>
> Che alla fine non puoi avere lo stesso AUTH su piu' devices, al
> contrario di Authy. Forse il problema l'avevo avuto quando ho provato
> a mettere Google Auth anche sul Tablet come backup in caso di problemi
> e mi diceva che non potevano essere attivi entrambi.... uhm

bho...in realtà se da Google AUTH scegli ESPORTA, e poi con un altra
perifericha inquandi il QR poi in ambedue le periferiche hai gli stessi
codici funzionanti

--


--

[Fabrizio FiFaGi]

Nel suo scritto precedente, Evil Boomer Santa Claus ha sostenuto :

> On Sat, 19 Mar 2022 20:46:18 +0100, AmigOS <ami...@amigos.it> wrote:
>
>>
>> Hola,
>> io per vari siti di gaming e altro, uso la verifica a 2 passaggi di
>> GOOGLE AUTENTICATOR
>
> Io uso Authy che ho sia sul PC che sullo Smartphone

ma potrei spsotare TUTTO quello che ho su Google Aut. su questo ?

(ho google, nicehash, activision)

--


--

[Fabrizio FiFaGi]

Fabrizio FiFaGi scriveva il 20/03/2022 :

ah, ed anche R*

--


--

[Tasslehoff Burrfoot]

Il 20/03/2022 09:38, AmigOS ha scritto:

> Mmm... non ci ho capito molto, poi me lo rileggo con più calma e vedo
> se rsolvo con questo.
> tx

Se ci fai caso quando attivi l'autenticazione multifattore su qualche
servizio ti presenta un QR code e anche un codice alfanumerico.
Anche su Google Authenticator quando crei un profilo per un servizio ti
da la possibilità di leggere un codice QR oppure di inserire un codice.

Quel codice è la chiave del dispositivo OTP, puoi usare Google
Authenticator, Authy, MS Authenticator, FreeOTP, quello che vuoi, quello
che importa è la chiave.
Se conservi la chiave puoi configurare un secondo, terzo, millesimo
dispositivo/app per generare lo stesso codice per l'autenticazione
multifattore.

Il plugin Keepass che citavo è solo un dispositivo OTP, al pari di
Google Authenticator o Authy, solo che anzichè risiedere sullo
smartphone sta su pc con Keepass.
Una volta che hai configurato quello puoi configurare partendo da quello
anche Google Authenticator e avere un doppio generatore per lo stesso
codice OTP: Google Authenticator su smartphone e Keepass su PC.

Cambi PC?
Ti basta salvare il database Keepass nei tuoi backup, reinstallare
Keepass sul nuovo pc e riaprire il db Keepass.

Cambi smartphone?
Installi Google Authenticator sul nuovo smartphone e ricrei gli account
che ti interessano partendo da Keepass.

E' molto semplice e indipendente da soggetti terzi.
Ad es se ti basi su Authy e domani chiude e smette di funzionare puoi
rimanere bloccato.
Con Keepass sei indipendente e hai tutto in locale sul tuo PC, se anche
domani il progetto Keepass dovesse chiudere avrai sempre la tua istanza
installata e le chiavi dei tuoi codici OTP al sicuro in locale sul tuo PC.

Tas

[Tasslehoff Burrfoot]

Il 20/03/2022 11:27, Soprano ha scritto:

> Vuoi avere qualcosa che va contro il concetto stesso di 2FA: il fatto che
> la seconda autenticazione possa avvenire solo sul device che hai
> registrato quando ti sei loggato la prima volta. Se dai la possibilità di
> salvare le chiavi sul "cloud" e importarle su un secondo telefono senza il
> "passaggio di consegne" di cui parlavi, il 2FA muore e la sua sicurezza
> pure. Già solo la presenza di quel "passaggio di consegne" è discutibile
> dal punto di vista della sicurezza, FreeOTP non permette nemmeno quello.

Niente affatto, il concetto di autenticazione multifattore definisce
solo che ci sia un ulteriore fattore di autenticazione, oltre a quelli
già esistenti (generalmente username e password).

Dove stia quell'ulteriore terzo fattore non ha nulla a che vedere con
2FA, tant'è che alcuni usano un codice OTP, altri invece mandano un
codice SMS, altri ancora una notifica su una app associata all'account.

Quello che tu descrivi ha più a che fare con il concetto di token
fisico, che è un altro paio di maniche e non ha niente che fare con una
multi factor authentication mediante codice OTP.

Il codice OTP deriva da una chiave, il fatto che tu possa estrarre o
meno la chiave dall'applicazione che genera il codice è una limitazione
puramente arbitraria posta in quella applicazione, tant'è vero che ce ne
sono diverse che invece permettono l'estrazione della chiave o la
generazione di nuovi QR codes per poter configurare un ulteriore device.

Tas

[AmigOS]

On Sun, 20 Mar 2022 18:52:40 +0100, Tasslehoff Burrfoot
<tassl...@SPAMMACHETIFRIGGOburrfoot.it> wrote:


>E' molto semplice e indipendente da soggetti terzi.
>Ad es se ti basi su Authy e domani chiude e smette di funzionare puoi
>rimanere bloccato.
>Con Keepass sei indipendente e hai tutto in locale sul tuo PC, se anche
>domani il progetto Keepass dovesse chiudere avrai sempre la tua istanza
>installata e le chiavi dei tuoi codici OTP al sicuro in locale sul tuo PC.
>
>Tas

Ok, capito, grazie !

[AmigOS]

On Sun, 20 Mar 2022 18:37:34 +0100, Fabrizio "FiFaGi"
<fif...@TOGLILMAIUSCOLOgmail.com> wrote:

>bho...in realtà se da Google AUTH scegli ESPORTA, e poi con un altra
>perifericha inquandi il QR poi in ambedue le periferiche hai gli stessi
>codici funzionanti

Vero, dunque se facessi un esporta e mi salvassi l'immagine, un domani
in caso di problemi, potrei comunque ripristinare il tutto ?

[Soprano]

On 20.03.2022 19:04:12 +01:00, Tasslehoff Burrfoot wrote:
> Il codice OTP deriva da una chiave, il fatto che tu possa estrarre o meno
> la chiave dall'applicazione che genera il codice è una limitazione
> puramente arbitraria posta in quella applicazione

È una limitazione che garantisce la sicurezza del processo. Se invece la
puoi estrarre e distribuire su N device senza registrarli la sicurezza di
cui sopra si viene gioco forza a perdere.Tu ti fidi a mettere in mano a
Authy la chiave di accesso delle tue transazioni bancarie ?
--
Soprano

[Fabrizio FiFaGi]

AmigOS ha detto questo domenica :

da vedere, non so se ha un termine di validità

--


--

[AmigOS]

On Mon, 21 Mar 2022 10:56:00 +0100, Fabrizio "FiFaGi"
<fif...@TOGLILMAIUSCOLOgmail.com> wrote:

>da vedere, non so se ha un termine di validità

Perché effettivamente potrebbe essere la soluzione definitiva.
Ovviamente se poi risulterà "scaduto" potrebbe risultare l'inculata
definitiva !

[S2💦™]

On 20.03.2022 13:21:03 +01:00, AmigOS wrote:
> Se si rompe il cellulare, si costretti a contattare uno ad uno tutti i
> siti interessati per "resettare" il tutto.

in teoria quando hai registrato il 2fa ti hanno dato un codice per il
reset.

--
posted from https://fcku.it/

[Evil Boomer Santa Claus]

On Sun, 20 Mar 2022 18:52:40 +0100, Tasslehoff Burrfoot
<tassl...@SPAMMACHETIFRIGGOburrfoot.it> wrote:


>Se ci fai caso quando attivi l'autenticazione multifattore su qualche
>servizio ti presenta un QR code e anche un codice alfanumerico.
>Anche su Google Authenticator quando crei un profilo per un servizio ti
>da la possibilità di leggere un codice QR oppure di inserire un codice.

Ma aspetta, stai dicendo, che si puo' importare anche su Authy la roba
di Google Authenticator? Perche' in quel caso porterei tutto su Authy
e mi metto pure quel plugin per Keepass.

Che GA lo uso solamente per 4-5 cose ma ne farei a meno, praticamente
facebook ha imposto GA ma forse potevo dirottare tutto su Authy?

[Evil Boomer Santa Claus]

On Sun, 20 Mar 2022 18:38:23 +0100, Fabrizio "FiFaGi"
<fif...@TOGLILMAIUSCOLOgmail.com> wrote:


>> Io uso Authy che ho sia sul PC che sullo Smartphone
>
>ma potrei spsotare TUTTO quello che ho su Google Aut. su questo ?
>
>(ho google, nicehash, activision)

E quello che sto cercando di capire pure io, che se possibile, sposto
tutto su Authy che tra l'altro funziona anche su PC visto che ci sta
il programma e non devo per forza aprire il Cellulare nel caso di
Google Authenticator.

Cosi evito di tenere la roba su 2 robe distinte.... anzi 3 se aggiungo
anche KeePassOTP.

[Tasslehoff Burrfoot]

Il 21/03/2022 20:28, Evil Boomer Santa Claus ha scritto:

> Ma aspetta, stai dicendo, che si puo' importare anche su Authy la roba
> di Google Authenticator? Perche' in quel caso porterei tutto su Authy
> e mi metto pure quel plugin per Keepass.
>
> Che GA lo uso solamente per 4-5 cose ma ne farei a meno, praticamente
> facebook ha imposto GA ma forse potevo dirottare tutto su Authy?

Non so se tramite l'esportazione di GA puoi importare su Authy, mai provato.

Di certo puoi portare su Authy, GA, FreeOTP e qualsiasi altra app per
MFA quello che hai su Keepass (mediante plugin KeepOTP2).

Riassumendo:
GA --> Auhty = boh mai provato
KeeOTP2 --> any = no problem

Io ad esempio tengo di base le chiavi OTP su Keepass/KeeOTP2, e poi
configuro ANCHE su GA solo le cose che potrebbero servirmi per la login
tramite smartphone.

Aggiungo un dettaglio che per noi italiani può essere molto comodo e
interessante, ovvero SPID.
Immagino sappiate tutti che gli identity provider SPID prevedono
ciascuno una app dedicata per MFA (ricordo che alcuni tipo TIM
prevedevano MFA solo tramite SMS, ora non so se siano passati anche loro
ad app per ridurre i costi legati agli SMS).

La cosa stronza è che non permettono l'uso di app generiche come GA o
Authy (e la cosa francamente mi fa incazzare perchè di fatto usano OTP
standard, solo che non ti danno la chiave per usare altre app diverse
dalla loro).
L'unico IdP che fa eccezione è Lepida (che tra l'altro è l'unico IdP
SPID veramente pubblico, fa capo alla regione Emilia Romagna), o meglio
ufficialmente anche loro prevedono app dedicata, ma tramite un
interessante progetto su github (https://github.com/iecho8ae/lepidatotp)
è possibile ottenere la chiave OTP e configurare qualsiasi app per OTP
(tipo appunto GA o Keepass/KeeOTP2 o Authy o FreeOTP).
In pratica questo script python non fa altro che comunicare con i server
di Lepida in modo del tutto identico alla app di Lepida, che quindi lo
interpreta come tale e permette di ottenere la chiave OTP, e tramite
apposite librerie generare un QR code con cui configurare l'account su
qualsiasi app/software OTP.

Ciao

Tas

[Tasslehoff Burrfoot]

Il 20/03/2022 21:29, Soprano ha scritto:

> È una limitazione che garantisce la sicurezza del processo. Se invece la
> puoi estrarre e distribuire su N device senza registrarli la sicurezza di
> cui sopra si viene gioco forza a perdere.Tu ti fidi a mettere in mano a
> Authy la chiave di accesso delle tue transazioni bancarie ?

Però attenzione, è una limitazione che non ha nulla a che fare con il
processo di MFA.
Per capirci il processo si occupa unicamente di generare un codice
partendo da una chiave, da alcune variabili (es timestamp) e
trasformazioni varie.
Dove tieni la chiave non dovrebbe essere affare del servizio che usa
MFA, sono fatti tuoi.

Poi permettimi una obiezione, ci sono casi di account dove può rendersi
necessario avere la possibilità di loggarsi da più persone, se il
servizio non prevede questa possibilità (ovvero registrare n dispositivi
per MFA) si è fregati, o non si attiva MFA (molto male) oppure la cosa
diventa ingestibile.
A me è capitato da un cliente che usava un account Amazon e dove il
dispositivo MFA era sullo smartphone del titolare, tutte le volte
l'amministrazione doveva chiamarlo e farsi dettare il codice MFA (puoi
immaginare il caos...).
Chiaro che in questo caso la procedura corretta sarebbe configurare un
account Amazon aziendale vero, dove poter delegare acquisti o altro ad
altri account (es uno per amministrazione, uno per ufficio acquisti, uno
per responsabile IT, etc etc...), ciascuno con il proprio codice OTP...
ma purtroppo non sempre questa cosa è possibile o è proprio prevista da
chi fornisce il servizio a cui occorre autenticarsi.

Per rispondere alla tua domanda, io non mi fiderei di Authy per
conservare le mie credenziali (che sia MFA o username e password, o
tutti insieme), così come non mi fido del keyring di Chrome o di altro
servizio di cui non ho il controllo.
Mi fido decisamente di più di Keepass perchè di quello ho il controllo
completo e se ce ne fosse bisogno posso facilmente bloccare qualsiasi
tipo di traffico fatto dall'eseguibile di Keepass.
Tra l'altro usare Keepass non significa certo tenere tutto sullo stesso
db, se uno è veramente paranoico nulla vieta di usarne n diversi a
seconda della criticità delle credenziali che vi conservi (e magari
usare autenticazione biometrica di Windows Hello, facilmente attivabile
mediante altri plugin).

Ciao

Tas

[Soprano]

Sono d'accordo che tecnicamente si può fare, certo, ma è un po' come se
nella crittografia asimmetrica tu ti metti a distribuire la tua chiave
privata a amici e conoscenti, funziona tutto ma la sicurezza ne è
inevitabilmente compromessa. Le banche tipicamente esigono che sia solo il
cellulare, e uno solo, del cliente a ricevere gli OTP (o le notifiche
push, che sono ancora più sicure degli OTP), e a ragione.

Ma è vero che la linea che separa la "sicurezza" dalla "rottura di
coglioni" è sottile e cambia da un caso d'uso all'altro. A noi hanno
imposto, causa gdpr, tutte le restrizioni varie sulle password anche per
prodotti usati da operatori che devono agire in emergenza, tipo sistemisti
e simili, sappiamo già che andremo a complicargli la vita, che dopo 3 mesi
si ritroveranno a non potersi loggare perché la password è scaduta,
smoccoleranno i santi del calendario e ci malediranno. Uno specifico
cliente ha imposto, da requisito, password MINIMO di 20 caratteri. Lo so,
è incredibile. Ma è successo.
--
Soprano

[Lord Alucard 144Hz]

Nel suo scritto precedente, Soprano ha sostenuto :

Fanno bene.
La regola di base della sicurezza è che più è comodo, meno è sicuro.

--
Il Papa guarda la neve dalla finestra. Poi uscirà a fare il pupazzo.