(traducció de l’anglès Multi-factor Authentication Primer with PUBLIC SSO al catalá, per @rita amb la supervisió d’en Xaloc i en Marcel Costa.)
Objectius
- Autenticació única usant PUBLIC SSO (de l’anglès, Single Sign On)
- Autenticació multifactor (MFA)
- Contrasenya d’un sol ús (OTP)
- Instal·la el MFA en diversos dispositius (telèfon i ordinador portàtil)
Requisits
Al teu telèfon
Instal·la FreeOTP des del repositori F-Droid.
Al teu portàtil
Usarem pass amb l’extensió OTP.
P.e., a Debian:
sudo apt install pass pass-extension-otp zbarimg
Configura SSO i OTP
Aquesta secció explica el registre del compte SSO i la configuració MFA per al teu telèfon.
- Obre un compte a https://public.cat/auth/realms/public/account
- Configura un dispositiu per a MFA a https://public.cat/auth/realms/public/account/#/security/signingin sota “Set up Authenticator Application”
- Escaneja el codi QR des de FreeOTP
- Completa el registre del dispositiu
Registra un dispositiu de recuperació OTP
Cal tenir en compte que la intenció del MFA és requerir múltiples dispositius com a mecanisme en cas que un dispositiu sigui robat. Però si el teu únic dispositiu MFA és robat, no tindries accés al compte, i seria com a un atac de denegació de servei. Per tant, és important anticipar aquesta situació quan s’usa MFA, i crear un dispositiu de recuperació. En aquest exemple, usarem un ordinador portàtil amb pass. Cal tenir en compte que aquesta contrasenya no hauria de desar-se al teu portàtil, ja que anularia el multifactor. Millor desar-ho a algun altre lloc segur, per exemple, en un repositori git remot on pots accedir des de qualsevol màquina que usis. Fins i tot, per a més seguretat, pots desar aquest repositori dins un tomb.
També cal tenir en compte que la següent seqüència hauria de fer-se bastant ràpid perquè podria esgotar-se el temps de sessió: llegeix les instruccions primer i estigues a punt per fer-ho en un minut o dos.
- Entra a https://public.cat/auth/realms/public/account
- Procedeix al MFA amb el teu dispositiu principal
- Vés a “Configurar l’aplicacio d’autenticació”
- Desa el codi QR com a
~/otp.png
- Desa les credencials OTP per accedir:
zbarimg -q --raw ~/otp.png | pass otp insert public.cat/public-sso/"$USER"-otp
- Aconsegueix un nou OTP per enganxar-lo al formulari i completar el registre del dispositiu
- Surt del compte i testeja el teu nou dispositiu MFA
- Elimina el codi QR que conté el teu secret!
rm -r ~/otp.png
Ara, pots usar pass otp public.cat/public-sso/"$USER"-otp
per recuperar un OTP des de la terminal en cas que hagis perdut el telèfon.