>> > posso permettermi una domanda, ma il totp ha molti problemi di time sync?
In generale no, non danno grossi problemi anche se su un ordine di un centinaio di token Feitian mi è capitato di riceverne alcuni con gap che vanno da pochi secondi a poche decine di secondi. Non è un grosso problema appunto perché è sufficiente re-sincronizzarli inserendo 2 OTP consecutivi su LinOTP (c'è un'apposita funzione resync che si può rendere visibile agli utenti anche da interfaccia self-service). Non ho ancora visto un solo token hardware out of sync al punto da non essere riconosciuto (gap >300s), al contrario mi sono capitati dei casi con device iOS/Android. Per semplificare ho messo le istruzioni per sincronizzare l'orario su iOS/Android (con tanto di immagini) su una pagina html statica raggiungibile tramite un link "help" che ho messo sulla form di login del nostro identity provider. È servito a "ridurre" (non ad eliminare) il numero di "richieste di supporto" (Ho perfino un utente che ha l'orologio del cellulare impostato in AVANTI di 5 MINUTI "per arrivare puntuale" (parole sue...). Ha deciso che preferisce spostare indietro e avanti l'orologio ogni volta che deve usare il 2FA) Altri problemi per quanto riguarda il 2FA in generale sono gli inaspettatamente alti casi di: - telefoni con 2FA rotti/rubati/reinstallati - token hw persi/lasciati a casa In questo caso ho previsto la possibilità per gli utenti di auto-generarsi 10 "recovery codes" con authMax=1 in modo da poter utilizzare uno di quei codici al posto del token TOTP (per i casi elencati sopra). Inutile dire che solo gli utenti "Smart" li usano senza chiamare il supporto e che capitano comunque casi di utenti che "non hanno generato i recovery codes" o "non si ricordano dove li hanno salvati" o "non si ricordano di averli generati" (nonostante siano visibili e attivi si nel sistema che negli audit log) > perchè a occhio e croce è più facile da mettere in alta affidabilità dato che > si devono solo preservare i token e non il "conteggio" > Concordo in parte, può funzionare se hai esclusivamente token TOTP HW o software non self-service. In tutti gli altri casi ti tocca sincronizzare il database. > Dato che sto facendo valutazioni in tal senso e ho trovato prodotti > abbastanza economici (totp programmabili via nfc a circa 8 euro l'uno) che > sarebbero molto facili da implementare e con un costo veramente contenuto. > Se non hai esigenze particolari puoi spendere almeno la metà con token pre-programmati (tipo i Feitian, prodotti in Cina) > Grazie > > k. > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
