Aggiornato il: 26-06-2022 22:05
Introduzione
L’autenticazione a due fattori è utile per proteggere i nostri account da accessi indesiderati: se infatti di norma basta inserire una password per accedere al nostro account social o email, mediante autenticazione 2FA (2 Factor Authentication) si inserisce un ulteriore livello di protezione per l’accesso. In questo articolo vedremo come funziona la 2FA nel dettaglio, come attivarla su WordPress e come funziona tecnicamente.
Come attivare l’autenticazione a due fattori su WordPress
Per quanto riguarda le versioni di WordPress hosted, attualmente il plugin Google Authenticator permette di introdurre in WP l’autenticazione “alla Google”: nella pratica, se anche un attaccante riuscisse ad indovinare username e password dell’utente, sarebbe di fatto impossibilitato a procedere oltre nel curiosare nel nostro blog, poichè dovrebbe confermare il codice inviato via SMS e, a meno che non ci abbia sottratto il telefono, non potrebbe fare più nulla (se non con probabilità piuttosto basse di indovinare quel codice casuale).
Google Authenticator richiede un server NTP attivo e funzionante sull’hosting wordpress attivo (di solito avviene di default su ogni hosting di questo tipo) in modo da gestire correttamente il timestamp, e dalle valutazioni positive ricevute sembra essere un buon prodotto gratuito.
Al momento (11 agosto 2018) non sembrano esistere soluzioni di 2FA per WordPress con invio di SMS per l’Italia.
Dettagli tecnici
I tentativi di attacco al file wp-login.php mediante tecniche di scripting brute force – nei quali un attaccante prova ad indovinare le credenziali di accesso dell’amministratore mediante tentativi su file dizionario – rendono necessaria, cosଠcome accade su altri sistemi informatici, l’introduzione di un ulteriore fattore di sicurezza.
L’autenticazione a due fattori, sfruttata ad esempio dai siti delle banche online per rendere più protette le transazioni e le operazione di consultazione dell’account, serve esattamente a questo: Two Factor Auth (2FA) viene implementata da numerosi siti (qui c’è una lista aggiornata), attualmente, tra cui anche Google / Gmail e Box.com, ed è già presente ed attivabile su WordPress.com.
Il suggerimento di base è quello di adottare questo sistema di sicurezza, che rende il login tradizionale da una procedura con una semplice verifica:
- verifica la correttezza di username e password;
un processo con duplice autenticazione:
- verifica la correttezza di username e password;
- invia un SMS con un codice casuale al cellulare del proprietario dell’account, e richiedilo come “seconda password”.
Come variante più generale, l’invio di SMS può essere sostituito dalla generazione, a parte, di un codice di autenticazione denominato “One Time Password“, cioè una password univoca che funzioni solo per brevi periodi di tempo e venga rigenerata volta per volta, in modo da ridurre le possibilità per l’attaccante di violare il sistema. Di solito, superata la fase due, l’utente acquisisce un cookie personalizzato che fa in modo che i successivi login vengano “dati per buoni” sulla stessa macchina (PC o smartphone), in modo che l’utente non sia costretto a ricevere un messaggio ogni volta, quantomeno per un dato periodo di tempo. Ovviamente è necessario non lasciare sessioni aperte su computer pubblici e proteggere sempre l’accesso a questi dispositivi da occhi indiscreti.
Photo by dogsbodyorg
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
