In questi ultimi anni gli hacker si sono fatti sempre più insistenti, invadenti e soprattutto, purtroppo, più scaltri e abili capendo anche che hanno a che fare con umani imperfetti con le loro debolezze e carenze.
Facciamo un discorso generico e introduttivo sulla sicurezza dei propri account online e non.
C’è un semplice decalogo da seguire ma la sua osservanza è di importanza vitale per i propri dati e per la propria privacy.
- Non usare MAI la stessa combinazione login + password per più account.
- Non usare mai password generate in maniera infantile sullo stile mio nome + data di nascita oppure anno di nascita + nome del proprio pet o città.
- Non usare MAI la stessa combinazione login + password per più account.
- Usare combinazioni casuali di numeri, lettere maiuscole, minuscole e simboli per la creazione di una password efficace e resistente.
- Non usare MAI la stessa combinazione login + password per più account.
- Una password che si possa definire ROBUSTA deve essere lunga almeno ALMENO 14 caratteri tra lettere minuscole, maiuscole, numeri e simboli.
- Non usare MAI la stessa combinazione login + password per più account.
- Meglio sarebbe usare un generatore casuale di password come per esempio questo: https://bitwarden.com/password-generator/ perchè la sua entropia è di gran lunga superiore a quella della mente umana.
- Non usare MAI la stessa combinazione login + password per più account.
- Segnarsi le password su un taccuino o, per i più evoluti, utilizzare un password manager.
Vedremo più avanti come installare sul proprio NAS un server password manager e rendersi autonomi da abbonamenti a pagamento e servizi di terze parti.
Una buona combinazione login + password lunga e complessa vi mette già al riparo in maniera consistente da eventuali attacchi ma l’autenticazione a due fattori vi posiziona definitivamente in una botte di ferro. Se ben gestita direi che è la soluzione definitiva.
Di cosa si tratta?
Avete presente quando volete loggarvi, per esempio, al vostro home banking? Inserite login, password e poi vi viene richiesto un codice numerico quasi sempre a sei numeri che può venirvi fornito in svariati modi: SMS, Mail o generato da una chiavetta ad-hoc. Bene. Quel codice aggiuntivo, generato “casualmente” e rigenerato continuamente, è proprio ciò di cui stiamo parlando: il secondo fattore. Un malintenzionato può scoprire la vostra password ma sarà impossibile per lui avere anche il secondo fattore, a meno di vostri errori di gestione (perdita/furto del telefono in primis).
Potete rendervi autonomi nella gestione della 2FA procurandovi un’app apposita. Moltissime persone utilizzano l’app di Google per telefoni cellulari. Si chiama Google Autenticator. Ma ce ne sono molte altre da Yubiko e BitWarden e altri password manager. Sinceramente mi sento di sconsigliarvi quella di Google perchè, volente o nolente, è il depositario di infiniti segreti di ognuno che gli affidi, ignaro, i propri dati.
Possiamo chiamare il secondo fattore anche OTP (One-Time Password) o TOTP (Time-Based One-Time Password e sono quelle che durano solitamente 30 secondi o tempistiche diverse in base al fornitore del servizio).
Verifica durante l’accesso:
Quando accedi al tuo account, dopo aver inserito la tua password, il sito o l’applicazione richiederà il codice OTP / TOTP.
Il tuo dispositivo genera il codice in base alla chiave segreta e al tempo corrente.
Il codice viene inserito nel sito o nell’applicazione.
Il sito o l’applicazione utilizza la stessa chiave segreta per generare un codice sul proprio lato e confronta quello che hai inserito con quello generato dal sistema. Se corrispondono, l’accesso viene concesso.
Aspetti tecnici (saltate pure se non vi interessano perchè è la parte noiosa dell’articolo):
Hashing:
La chiave segreta in sé non viene inviata attraverso la rete durante l’accesso. Invece, viene utilizzata per generare un hash crittografico. Un hash è una stringa di lunghezza fissa, univoca per ogni input. L’algoritmo di hashing utilizzato è spesso l’algoritmo HMAC (Hash-based Message Authentication Code).
Chiave privata:
La chiave segreta può essere considerata una forma di “chiave privata” nella crittografia asimmetrica. Tuttavia, in questo caso, è più simile a una password molto lunga e casuale.
Crittoalgoritmi:
L’algoritmo TOTP (Time-Based One-Time Password) è uno dei più comuni per la generazione di OTP. Si basa sull’algoritmo di hash crittografico HMAC-SHA1, HMAC-SHA256 o HMAC-SHA512.
Token di autenticazione:
Il dispositivo sul quale hai configurato la 2FA (ad esempio, il tuo telefono) diventa un “token di autenticazione”. È questo dispositivo che genera i codici OTP basati sulla chiave segreta e sul tempo.
Ora che ti ho annoiato a dovere, ti spiego passo passo come attivare questo indispensabile metodo di sicurezza al tuo account amministratore (ma se vuoi anche su tutti gli altri) sul tuo NAS:
Eccoci finalmente alla procedura passo-passo per attivare la 2FA (Autenticazione a Due Fattori) su un NAS Synology con DSM 7.X:
Step 1: Accesso al NAS.
Apri il tuo browser web e inserisci l’indirizzo IP del tuo NAS Synology® nel campo dell’URL.
Accedi con le credenziali di amministratore del NAS o con l’account che intendi proteggere..
Step 2: Apri le Impostazioni dell’Account Utente
Nell’interfaccia principale (dashboard) fai clic sull’icona dell’utente in alto a destra come da figura e scegli la voce del menù a tendina “Personale”.
Nella finestra di dialogo che comparirà selezionate la voce “Sicurezza”.
Nel superiore dei due riquadri sottostanti vedrete che c’è una spunta blue in corrispondenza della voce “Autenticazione a fattore singolo”.
Step 3: Abilitare la 2FA
Clickare ora nel riquadro sottostante dove c’è la scritta in grassetto “Autenticazione a 2 fattori”.
Ci vengono ora presentate 3 opzioni.
- Approva registrazione. Serve aver scaricato e configurato sul telefono l’app di Synology “Synology Secure Sign In”. Basterà confermare sul telefono la propria identità confermando sull’app che siete voi ad accedere. Molto semplice ma Synology saprà quando loggate e in caso di falle o intrusioni nei loro sistemi, la sicurezza del vostro account potrebbe essere compromessa.
- Codice di verifica (OTP) ed è quello che andrete ad attivare seguendo questa guida.
- Chiave di sicurezza hardware. Il più sicuro dei sistemi ma per “nerd” un pò fissati con la sicurezza.
Step 4: Attiva l’Autenticazione a Due Fattori (2FA)
Clickare sulla voce di mezzo “Codice di verifica (OTP). Si apre un pop-up che chiede di confermare che sia proprio il proprietario dell’account a voler attivare la 2FA chiedendoci di inserire la password di accesso al NAS.
E quindi la inserirete.
Successivamente partirà il Wizard per la configurazione vera e propria. Vi verrà proposta una finestra con una breve spiegazione della 2FA. Click su “Avanti”.
Nella schermata successiva ci viene chiesto di scaricare un app autenticator. Come detto in apertura può essere quella di Google, Yubiko, Bitwarden o altro. Qui avete carta bianca. Procedete con quella che preferite o, se ne avete già una, siete già pronti per il passaggio successivo. Premete quindi “Avanti”.
Passo 6: Abbonamento account
Finalmente ci viene proposto un codice QR da scandire con l’app autenticator che abbiamo sul telefono.
Dall’app autenticator sul telefono in quadrate il codice QR che vi compare un codice. L’app autenticator dovrebbe subito proporvi un codice da 5 cifre da inserire nella casella apposita sul NAS. Dopo averlo inserito premete su “Avanti”.
Abbiamo quasi finito. C’è l’ultimo passaggio in cui il NAS vuole sapere la vostra email per inviarvi un codice di recupero in caso non foste più in grado di accedere all’app autenticator.
Dopo averla inserita premete il pulsante “Invia e-mail di verifica” e attendete di riceverla. Se tutto sarà andato per il verso giusto riceverete la mail e verrete avvisati sul NAS che la verifica è andata a buon fine. Potete ora premere “Avanti”.
Sull’ultima finestra del Wizard potrete vedere un report sul compimento con successo della configurazione. Clickate su “Fatto” e avrete concluso.
A questo punto tornerete sulla finestra di gestione della sicurezza dove potrete verificare che la 2FA è stata attivata sull’account che avete configurato.
Volete verificare che tutto sia corretto?
Sloggate dal NAS e riloggate. Noterete che dopo aver inserito login e password il NAS vi chiederà di inserire anche il codice a 6 cifre appena configurato.
Inseritelo e sarete dentro in completa sicurezza.
Per domande, chiarimenti o suggerimenti, scrivete pure nei commenti qui sotto.
Lascia un commento