Manual d'autenticació multifactor amb PUBLIC SSO

(traducció de l’anglès Multi-factor Authentication Primer with PUBLIC SSO al catalá, per @rita amb la supervisió d’en Xaloc i en Marcel Costa.)

Objectius

• Autenticació única usant PUBLIC SSO (de l’anglès, Single Sign On)
• Autenticació multifactor (MFA)
• Contrasenya d’un sol ús (OTP)
• Instal·la el MFA en diversos dispositius (telèfon i ordinador portàtil)

Requisits

Al teu telèfon

Instal·la FreeOTP des del repositori F-Droid.

Al teu portàtil

Usarem pass amb l’extensió OTP.

P.e., a Debian:

sudo apt install pass pass-extension-otp zbarimg

Configura SSO i OTP

Aquesta secció explica el registre del compte SSO i la configuració MFA per al teu telèfon.

• Obre un compte a https://public.cat/auth/realms/public/account
• Configura un dispositiu per a MFA a https://public.cat/auth/realms/public/account/#/security/signingin sota “Set up Authenticator Application”
• Escaneja el codi QR des de FreeOTP
• Completa el registre del dispositiu

Registra un dispositiu de recuperació OTP

Cal tenir en compte que la intenció del MFA és requerir múltiples dispositius com a mecanisme en cas que un dispositiu sigui robat. Però si el teu únic dispositiu MFA és robat, no tindries accés al compte, i seria com a un atac de denegació de servei. Per tant, és important anticipar aquesta situació quan s’usa MFA, i crear un dispositiu de recuperació. En aquest exemple, usarem un ordinador portàtil amb pass. Cal tenir en compte que aquesta contrasenya no hauria de desar-se al teu portàtil, ja que anularia el multifactor. Millor desar-ho a algun altre lloc segur, per exemple, en un repositori git remot on pots accedir des de qualsevol màquina que usis. Fins i tot, per a més seguretat, pots desar aquest repositori dins un tomb.

També cal tenir en compte que la següent seqüència hauria de fer-se bastant ràpid perquè podria esgotar-se el temps de sessió: llegeix les instruccions primer i estigues a punt per fer-ho en un minut o dos.

• Entra a https://public.cat/auth/realms/public/account
• Procedeix al MFA amb el teu dispositiu principal
• Vés a “Configurar l’aplicacio d’autenticació”
• Desa el codi QR com a ~/otp.png
• Desa les credencials OTP per accedir:
  zbarimg -q --raw ~/otp.png | pass otp insert public.cat/public-sso/"$USER"-otp
• Aconsegueix un nou OTP per enganxar-lo al formulari i completar el registre del dispositiu
• Surt del compte i testeja el teu nou dispositiu MFA
• Elimina el codi QR que conté el teu secret! rm -r ~/otp.png

Ara, pots usar pass otp public.cat/public-sso/"$USER"-otp per recuperar un OTP des de la terminal en cas que hagis perdut el telèfon.