Pagina 1 di 1

App 2FA quale scegliere?

Inviato: mer mag 22, 2019 4:41 pm
da Sabato Maiello
Buon pomeriggio.
Già da tempo volevo installarne una,al momento uso gli sms.

Il fatto è che vorrei installarne una sola per acchiappare quanti più siti possibili,o almeno quelli indispensabili.

Pare che Microsoft Authenticator non funge con l'autenticazione su Gmail (?)
Poi c'è Outlook,Mega ecc.
Google Authenticator pare obsoleta (nelle recensioni vedo non è aggiornata da anni) e forse viceversa non funge con gli account Microsoft (?)

Se qualche animo gentile mi da una mano a capire la miglior scelta sarei grato.

Grazie.

Re: App 2FA quale scegliere?

Inviato: mer mag 22, 2019 6:13 pm
da gianpietro
Ciao.

Vedi questo articolo di Kaspersky, vedi link:

https://www.kaspersky.it/blog/2fa-pract ... ide/16468/

Re: App 2FA quale scegliere?

Inviato: mer mag 22, 2019 7:06 pm
da Sabato Maiello
Ciao e grazie.
Senza esagerare,conosco quella pagina a memoria, da anni :yes

Il fatto è che anche scegliendone una,non dice poi quella che si interfaccia con la maggior parte dei siti dove mi serve.

Quindi non posso installare più app per l'autenticazione.
Posso magari soprassedere su qualche sito ,ma il grosso lo dovrebbe fare un unica app,altrimenti che facciamo.

(altrimenti che facciamo è una domanda che vorrei fare agli sviluppatori,o pseudo tali,mi consentano)

Ma dove siamo? :acch

Re: App 2FA quale scegliere?

Inviato: ven mag 24, 2019 11:47 am
da developerwinme
Ciao Sabato,

Da quanto ne so e dalla mia esperienza, la stragrande maggioranza dei siti che supportano 2FA tramite app utilizzano i medesimi algoritmi, che sono quelli implementati dalle varie app per dispositivi mobili (Google/Microsoft Authenticator, Duo, ecc.).

Personalmente, utilizzo Microsoft Authenticator per Android con gli account Microsoft (con cui si ha anche il supporto per il login tramite notifica), Google, Amazon, GitLab, Dropbox, TeamViewer, GitHub, Facebook, Twitter, Wordpress, Firefox, Atlassian, Adobe, MathWorks e PayPal, senza alcun problema.
L'app viene aggiornata periodicamente (approssimativamente, ti direi almeno una volta al mese); ad esempio, di recente è stata inserita la possibilità di richiedere PIN/impronta all'avvio dell'app, così da proteggere i codici ulteriormente.
L'unico servizio per cui ho una app dedicata è SPID, per cui utilizzo PosteID, che non permette l'uso di applicazioni generiche.
Per alcuni altri servizi (Booking.com, Box, LinkedIn, ecc.), invece, sono costretto ad usare l'SMS perché non supportano alcuna autenticazione tramite app.

Per completezza, ti faccio infine presente che questa forma di Multi-Factor Authentication, per quanto piuttosto più sicura rispetto agli SMS, non rappresenta il top disponibile sul mercato, che è invece rappresentato dai dispositivi hardware, che sono meno soggetti ad attacchi di tipo phishing.

Tieni infine conto che, utilizzando una app, qualora dovessi perdere accesso al tuo smartphone, rischieresti anche di perdere accesso ai vari account.

Ti segnalo infine questa interessante risorsa sull'argomento 2FA: https://twofactorauth.org/

Re: App 2FA quale scegliere?

Inviato: ven mag 24, 2019 5:44 pm
da Sabato Maiello
Ciao developerwinme.
Molto preciso ;)

Vediamo se riesco a mettere bene insieme i pezzi.
Dunque se ho capito bene Microsoft Authenticator va bene anche per autenticarsi su Google/Gmail. (?)
(o ci vuole per forza Google Authenticator?)
Intanto lo so che una 2FA a dispositivi hardware è un altra storia (anche se ci sarebbe da discutere,se si impossessano dei tocken U2F diventa un problema,non sottovalutiamo questo aspetto,ma al momento cerchiamo di risolvere questa cosa qui) ma grazie per averlo detto,non potevi saperlo se ero a conoscenza o meno e poi potrebbe aiutare chi passa da queste parti ;)

Poi dovrei capire bene l'altra faccenda che giustamente mi facevi notare,cioè il fattore perdita o furto del telefono.
Cosa intendi per qualora dovessi perdere accesso al tuo smartphone, rischieresti anche di perdere accesso ai vari account.

Premesso che l'accesso al telefono direi che è assai improbabile (parlo per me) ma come ti ho detto potrebbero rubarlo,lo potrei perdere ecc ecc.
Voglio immaginare che chi ha fatto l'App ha valutato una situazione così.
Cioè si perde l'accesso definitivamente (che sarebbe quasi tragico) o avviando un dispositivo nuovo con le dovute credenziali ci si prende nuovamente il controllo dei proprio account? Non l'ho capita molto bene.
E comunque notavo proprio alcuni utenti che lasciando i feedback di alcune di queste App lamentavano proprio il fatto che alcune non sono studiate per fare il backup e il ripristino sul nuovo device,o una cosa così,non saprei precisamente perchè non so nemmeno come si fa un backup su una applicazione del genere proprio perchè mai passata per le mani.
Scusa il papello "è stato inevitabile" e grazie.

Re: App 2FA quale scegliere?

Inviato: ven mag 24, 2019 9:35 pm
da developerwinme
Sabato Maiello ha scritto:
ven mag 24, 2019 5:44 pm
Molto preciso
:grazie
Sabato Maiello ha scritto:
ven mag 24, 2019 5:44 pm
Dunque se ho capito bene Microsoft Authenticator va bene anche per autenticarsi su Google/Gmail. (?)
(o ci vuole per forza Google Authenticator?)
Ti confermo che puoi utilizzare Microsoft Authenticator anche con gli account Google/Gmail. Io ne faccio uso regolarmente. Suppongo che sia vero anche il contrario (usare Google Authenticator con un account Microsoft/Outlook.com/Live/Hotmail)
Sabato Maiello ha scritto:
ven mag 24, 2019 5:44 pm
Intanto lo so che una 2FA a dispositivi hardware è un altra storia (anche se ci sarebbe da discutere,se si impossessano dei tocken U2F diventa un problema,non sottovalutiamo questo aspetto,ma al momento cerchiamo di risolvere questa cosa qui) ma grazie per averlo detto,non potevi saperlo se ero a conoscenza o meno e poi potrebbe aiutare chi passa da queste parti
:approvo
Sabato Maiello ha scritto:
ven mag 24, 2019 5:44 pm
Poi dovrei capire bene l'altra faccenda che giustamente mi facevi notare,cioè il fattore perdita o furto del telefono.
Cosa intendi per qualora dovessi perdere accesso al tuo smartphone, rischieresti anche di perdere accesso ai vari account.
Sabato Maiello ha scritto:
ven mag 24, 2019 5:44 pm
Premesso che l'accesso al telefono direi che è assai improbabile (parlo per me) ma come ti ho detto potrebbero rubarlo,lo potrei perdere ecc ecc.
Voglio immaginare che chi ha fatto l'App ha valutato una situazione così.
Cioè si perde l'accesso definitivamente (che sarebbe quasi tragico) o avviando un dispositivo nuovo con le dovute credenziali ci si prende nuovamente il controllo dei proprio account? Non l'ho capita molto bene.
E comunque notavo proprio alcuni utenti che lasciando i feedback di alcune di queste App lamentavano proprio il fatto che alcune non sono studiate per fare il backup e il ripristino sul nuovo device,o una cosa così,non saprei precisamente perchè non so nemmeno come si fa un backup su una applicazione del genere proprio perchè mai passata per le mani.
Riguardo questo punto, posso solo dirti quale è la mia esperienza riguardo l'app Microsoft Authenticator, e cioè che, nel momento in cui perdi accesso al telefono (ad es. perché viene rubato, si rompe, disinstalli l'app ecc.), perdi anche accesso al secondo fattore di autenticazione.
Detto questo, tutti i siti su cui ho attivato la 2FA offrono una qualche forma di recupero delle credenziali in caso di perdita del secondo fattore, ad esempio mediante codici di recupero (esempio).
Inoltre, leggo che, per il momento solo nella versione iOS, l'app prevede (1 - 2) la possibilità di fare un backup delle informazioni contenute, e di recuperarlo.
Ovviamente, si assume che ci si fidi, sia in termini di affidabilità che di sicurezza, sia del produttore dell'app (Microsoft, in tal caso), che del servizio di storage su cloud (iCloud, in questo caso).
Inoltre, non è prevista la possibilità di ripristinare il backup della versione iOS su dispositivi non-iOS (e, da quanto leggo, non lo sarà neanche se e quando la funzione sarà integrata anche nella versione Android)

Non so dirti invece quale sia invece la situazione con app differenti.

Sottolineo, per completezza, come, in caso di furto del telefono, i codici all'interno dell'app siano ovviamente esposti ad un uso malevolo, se il malintenzionato riesce a sbloccare il telefono. (questo vale anche per la 2FA tramite SMS, ovviamente)
Sabato Maiello ha scritto:
ven mag 24, 2019 5:44 pm
Scusa il papello "è stato inevitabile" e grazie.
Figurati, è un piacere condividere la mia esperienza in merito!

Re: App 2FA quale scegliere?

Inviato: sab mag 25, 2019 11:53 am
da Sabato Maiello
Ciao :approvo
Ho letto si con attenzione ma me lo studierò meglio appena posso.
Il grosso,quello che volevo capire credo è in memoria :mrgreen:

Non ho capito bene questo >
in caso di furto del telefono, i codici all'interno dell'app siano ovviamente esposti ad un uso malevolo, se il malintenzionato riesce a sbloccare il telefono. (questo vale anche per la 2FA tramite SMS, ovviamente)


..dove il malintenzionato o chiunque sia non credo proprio riesce a sbloccare un iPhone,credo esistono modi per resettarlo,ma non di carpirne le informazioni al suo interno (ho ricomperato un iPhone proprio per questo)

Non ho capito,come ti dicevo il fattore che hai menzionato sopra.
In che modo in caso di furto o smarrimento i codici all'interno dell'app possono essere esposti?

Re: App 2FA quale scegliere?

Inviato: lun mag 27, 2019 11:06 am
da developerwinme
Sabato Maiello ha scritto:
sab mag 25, 2019 11:53 am
in caso di furto del telefono, i codici all'interno dell'app siano ovviamente esposti ad un uso malevolo, se il malintenzionato riesce a sbloccare il telefono. (questo vale anche per la 2FA tramite SMS, ovviamente)
Lo scenario a cui facevo riferimento è il seguente:
1- Hai perso il tuo telefono o ti è stato rubato.
2- Qualcuno ("malintenzionato") viene in possesso del telefono.
3- Se il malintenzionato riesce a sbloccare il tuo telefono, ha accesso alle varie app, incluso quella con i codici 2FA.
(3b- Se, invece di usare una app per autenticazione, stessi utilizzando gli SMS, è possibile che, a seconda del modello specifico e delle impostazioni, non sia neanche necessario sbloccare il telefono per vedere il codice del secondo fattore (è comune, almeno su Android, che una anteprima della notifica degli SMS sia visibile anche dalla schermata di blocco, senza necessità di sbloccare il telefono)).

In questo caso, puoi assumere che tutti i tuoi secondi fattori di autenticazione siano a disposizione del malintenzionato in questione.

Quindi, in breve, volevo solo evidenziare che, in caso di furto, la sicurezza del tuo "secondo fattore" è delegata alla solidità del sistema anti-sblocco del tuo smartphone.

Re: App 2FA quale scegliere?

Inviato: lun mag 27, 2019 6:43 pm
da Sabato Maiello
Eccoci qua,buonasera.
Ho letto ;)

1° qualunque persona che sa fare 2+2 capisce che l'anteprima sul telefono va impostata su "quando sbloccato" ,quindi il problema a me non si pone . (poi lo so,il grosso compra il telefono,lo accende e comincia ad usarlo così come lo hanno trovato. Affari loro..)

2° l'autenticazione tramite sms la voglio escludere per altri motivi.
E' improbabile possono mettere la SIM in altro device per ricevere l'sms dell'autenticazione,poichè la SIM ha un PIN impostato su ON.
Per l'eggere l'sms dovrebbero scavalcare il PIN,anche se possibile nel frattempo avrei cambiato già tutti i codici di accesso ai siti e gli account principali.
Inoltre su iOS la 2FA non avviene ne tramite sms ne tramite autenticazione con App ,ma in un altra maniera,per entrare nell'account iCloud si dovrebbe dare il consenso tramite telefono che avvisa di un tentativo di entrata nell'account. Se non è sbloccato iPhone (cosa che avviene o tramite impronta o tramite codice,tranne al primo avvio dove l' impronta da sola non è sufficiente,oppure se si piagia 5 volte consecutive il tasto accenzione) dicevo se non è sbloccato neanche è possibile entrare.

Quindi direi che fino a qui ci siamo..

Volevo chiederti un altra cosa,che ho poco tempo in questi giorni.
L'app Microsoft Authenticator funziona anche senza copertura rete dati?

Re: App 2FA quale scegliere?

Inviato: lun mag 27, 2019 7:06 pm
da Sabato Maiello
.. e poi mi seve l'ultimo step:
Come regolarsi nel caso voglio vendere,un domani il telefono attuale per poi ricomprarne uno nuovo?
In tal caso come ci si regola per non rimanere fuori dall'account ,tenendo fuori il vecchio device?

(Ho modificato) grazie :yes

Re: App 2FA quale scegliere?

Inviato: lun mag 27, 2019 9:49 pm
da developerwinme
Sabato Maiello ha scritto:
lun mag 27, 2019 6:43 pm
L'app Microsoft Authenticator funziona anche senza copertura rete dati?
Ti confermo che l'app funziona offline; l'unica necessità è che l'ora del telefono sia corretta (non dico "al secondo", ma comunque in modo ragionevole). Non dovrebbe essere un problema, perché i moderni sistemi operativi la aggiornano in automatico, ma lo segnalo dato che tale aggiornamento non è possibile in assenza di connessione di rete.
Sabato Maiello ha scritto:
lun mag 27, 2019 7:06 pm
Come regolarsi nel caso voglio vendere,un domani il telefono attuale per poi ricomprarne uno nuovo?
Quando cambi telefono, o segui la procedura di backup discussa qualche post sopra, oppure, prima di dar via/resettare quello vecchio, fai un giro per tutti gli account con 2FA e modifichi l'app di autenticazione, inserendoli in quella nuova.
A quel punto, i vari codici presenti su quella vecchia dovrebbero essere non più validi (te ne accorgi perché saranno diversi da quelli generati dalla nuova). Per ulteriore sicurezza, puoi cancellarli dall'app, rimuovere l'app e poi resettare il telefono.

Re: App 2FA quale scegliere?

Inviato: mer mag 29, 2019 6:54 pm
da Sabato Maiello
developerwinme ha scritto:
lun mag 27, 2019 9:49 pm

Ti confermo che l'app funziona offline; l'unica necessità è che l'ora del telefono sia corretta
Bene .
Quando cambi telefono per ulteriore sicurezza, puoi cancellarli dall'app, rimuovere l'app e poi resettare il telefono.
Il backup rimarrebbe intatto vero?
Non vorrei cancello i dati e sul cloud ci va a finire una configurazione vuota. (Previo nuovo backup che iOS provvede da solo)
A meno che il backup dell'app e i dati non va fatto a manina e rimane quello,fino ad intervento dell'utente.

Credo tra un paio di giorni faccio il tutto,sono preso da altre cose e voglio procedere quando ho tempo e concentrazione.
Grazie ;)

Re: App 2FA quale scegliere?

Inviato: dom giu 02, 2019 5:46 pm
da developerwinme
Sabato Maiello ha scritto:
mer mag 29, 2019 6:54 pm
Il backup rimarrebbe intatto vero?
Non vorrei cancello i dati e sul cloud ci va a finire una configurazione vuota. (Previo nuovo backup che iOS provvede da solo)
A meno che il backup dell'app e i dati non va fatto a manina e rimane quello,fino ad intervento dell'utente.
Suppongo che il backup rimarrebbe intatto, ma non usando iOS e quindi la funzionalità di backup, non posso purtroppo confermartelo. :(

Re: App 2FA quale scegliere?

Inviato: lun giu 03, 2019 10:53 am
da Sabato Maiello
Grazie carissimo :yes