In questo articolo spiego come utilizzare Google Authenticator per la protezione a doppio fattore su Paypal.
Da un po’ di tempo Paypal ha attivato la possibilità di proteggere l’accesso agli account tramite un sistema di autenticazione a doppio fattore attivabile alla pagina https://www.paypal.com/cgi-bin/webscr?cmd=_setup-security-key
Per chi non conosce il significato di MFA o 2FA, trattasi sostanzialmente di un sistema di protezione che oltre al classico nome utente/password aggiunge un’ulteriore livello di sicurezza tramite codice token generato da dispositivi connessi/disconnessi, verifiche biometriche (retina, impronte, etc) o semplici SMS.
Google Authenticator è servizio di generazione Token reso disponibile su piattaforme Android, iOS e Blackberry OS e permette di gestire\generare token per svariati servizi da un’unica applicazione, se abbinata ad un buon gestore password (1Password, Lastpass, Dashlane, etc.) è una soluzione ideale per accedere rapidamente a qualsiasi servizio senza dover per forza impazzire con decine di applicativi di verifica o attendere SMS. Purtroppo Paypal non supporta i token di Google Authenticator ed offre solamente due opzioni:
– 2FA tramite SMS
– 2FA tramite Security key card o token
Quindi si attende il classico SMS, che in caso di mancanza di copertura telefonica o semplicemente per questioni tecniche arriva in ritardo (capita) il codice ha una scadenza e va rigenerato. Infine viene offerta l’opzione token fisico (disconnesso – a tempo), che bisogna sempre portare con sé… fantastico! -.-‘
Se dimentico il token a casa non posso fare pagamenti in mobilità con il portatile.
Sperando in una futura compatibilità con Google Authenticator e simili, al momento c’è un sistema per generare una “finta” Security Key e gestire il token da Google Authenticator!
Paypal supporta un Token proprietario della Symantec che genera codici su un algoritmo su base temporale (TOTP), né più né meno come Google Authenticator.
Tale Dan Lenski ha generato un programma opensource in Python in grado di generare codici seriali validi di Security key Paypal / Symantec.
Lo strumento lo trovate qui: https://github.com/dlenski/python-vipaccess
Premetto che per chi non è in grado di utilizzare le repo git, non ha competenze o strumenti per lanciare lo strumento Python sono disponibile a generarvi un seriale.
Per installare il tutto manualmente utilizzando un manager per pacchetti Python (python-pip) e successivamente clonate la repository con il comando git clone https://github.com/dlenski/python-vipaccess quindi installate il tutto con sudo pip install python-vipaccess .
Una volta installato il tutto, potete generare una Security key e relativo seriale lanciando lo strumento con il comando vipaccess provision -p -t VSMT .
Personalmente ho preferito utilizzare il comodissimo Docker installando appunto vipaccess e successivamente da riga di comando docker run –rm kayvan/vipaccess provision -p -t VSST , non c’è alcuna differenza.
Il programma vi genera un codice seriale ID simile a VSS12344321 con relativa scadenza calcolata dall’algoritmo e una credenziale otpauth://totp/VIP%…..issuer=Symantec.
Copiate tutta la stringa da otpauth a Symantec e utilizzatela per generare un codice QR, per comodità utilizzate questo sito: http://it.qr-code-generator.com/ e utilizzate il codice QR generato per aggiungere un nuovo token su Google Authenticator o qualsiasi altro software TOTP (ricordate di rinominarlo facendo riferimento a Paypal per renderlo più riconoscibile).
Andate alla pagina Paypal https://www.paypal.com/cgi-bin/webscr?cmd=_setup-security-key, selezionate “attiva la tua Chiave di accesso” (non SMS).
Alla pagina seguente appariranno 3 campi da compilare, nel primo campo Numero di serie immettete il codice seriale ID che ha generato VIP Access (simile a VSS12344321).
Nel secondo e il terzo campo vanno inseriti due codici consecutivi generati da Google Authenticator ed infine attivate la chiave di accesso.
Ed ora avete protetto l’account Paypal con un sistema a doppio fattore su Google Authenticator!
Difetti:
La Security Key di Paypal non è compatibile con l’applicativo Paypal mobile… questo non è dovuto al fatto che la chiave è generata con VIP Access, è bensì un ridicolo limite di Paypal, per utilizzare il 2FA su Paypal Mobile Android e iOS sarà necessario attivare anche il 2FA tramite SMS.