girl programming

Autenticazione a due fattori su WordPress

Autenticazione a due fattori su WordPress
Autenticazione a due fattori su WordPress

 

Server al sicuro

Se vi fidate ancora del classico meccanismo di autenticazione via password per proteggere il vostro server, state correndo un bel rischio. Leggete le prossime pagine e correte a blindare i vostri host più preziosi se non volete correre rischi.
Il classico sistema a “parola d’ordine” (o password) è sufficiente nella maggior parte dei casi, purtroppo però spesso la scelta ricade su frasi “deboli” e facilmente indovinabili. Inoltre i metodi di eseguire un attacco basato su tentativi (bruteforce) stanno migliorando con il crescere della banda e della potenza computazionale disponibili all’utente medio. Senza contare che se qualcuno avesse installato un keylogger sul vostro PC o vi stesse spiando, ruberebbe con semplicità il vostro unico punto di difesa. I sistemi di autenticazione a due fattori combinano il vincolo di “sapere qualcosa” (la password) a quello di “avere fisicamente” un determinato oggetto. Questo secondo strato di difesa potrebbe essere un dispositivo specializzato come un token hardware oppure il vostro smartphone. Una delle soluzioni più interessanti di autenticazioni a due fasi è Duo Security e attualmente offre il supporto per l’autenticazione a siti Web, tunnel VPN e account UNIXtinux.

Usare Duo Security

La soluzione proposta è di facile utilizzo, molto efficace e si basa sull’uso dell’autenticazione standard come primo step con l’aggiunta di una chiamata, un SMS oppure l’autorizzazione attraverso un’applicazione installata su uno smartphone come secondo passo. Se qualcuno dovesse venire in possesso dei dati di autenticazione standard non potrebbe quindi accedere ai sistemi perché non avrebbe il secondo componente. Fortunatamente Duo Security é gratuito fino a 10 utenti per uso personale e in questo tutorial vi mostreremo come usarlo per proteggere i vostri server più cari… affettivamente ed economicamente parlando.
Registrazione e prova gratuita Il software di Duo Security si basa su una soluzione centralizzata quindi, una volta installato un client sulla macchina da proteggere, questo componente dovrà poi comunicare con il server dell’azienda madre per offrire i servizi aggiuntivi.

Installazione

Prima di tutto dovrete però iscrivervi al sito. Per cominciare è consigliato usare la versione gratuita che offre fino a 10 utenti, praticamente avrete tutte le funzionalità presenti negli altri livelli ma non è incluso alcun supporto. Cliccate quindi sul pulsante Sign Up, inserite nome, indirizzo e-mail, i vostri riferimenti lavorativi e il tipo di abbonamento scelto. A questo punto aprite il client e-mail e usate il link di conferma che vi verrà inviato. Per attivare l’account di amministrazione dovrete solo ripetere il vostro nome, inserire il vostro paese di residenza, numero di telefono e una password; una volta premuto il pulsante di conferma riceverete una chiamata che vi inviterà a premere il tasto ‘#’ per confermare l’iscrizione. Finito questo passaggio l’account è pronto, potete quindi aprire il pannello e selezionare il link Integration per impostare il primo meccanismo di integrazione. Da qui scegliete New Integration e poi selezionate unix o un cms (wordpress); indicate un nome identificativo (ad esempio il nome dell’host da proteggere) e selezionate Add Integration. La pagina seguente vi mostrerà una Integration Key, una Secret Key e un host per la chiamata alle API. Tutte queste informazioni verranno immesse nel server da proteggere.
Per WordPress scaricate il plugin di duosecurity qui e installatelo. Andate su impostazioni e selezionate la voce Duo Two-Factor e inserite i dati richiesti.

Fonti LinuxPro

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *