Dispositivi attendibili (Remember device con 2FA)

3 min di lettura

Se ha attivato il 2FA e desidera saltare il codice a 6 cifre quando accede dal PC o dal cellulare abituale, selezioni "Ricorda questo dispositivo" - per 30 giorni non le chiederemo nuovamente il TOTP.

Come funziona

1. Al primo login 2FA riuscito sul dispositivo, selezioni "Ricorda questo dispositivo"
2. Salviamo nel browser un cookie HTTP-only con un token firmato (HMAC, non manipolabile)
3. Al successivo accesso (stesso browser, stesso dispositivo) troviamo questo cookie e saltiamo il passaggio 2FA
4. Dopo 30 giorni il token scade e dovrà inserire nuovamente il TOTP

Gestione dei dispositivi attendibili

In Impostazioni -> sezione Sicurezza -> Dispositivi attendibili vede l'elenco:

• Nome del dispositivo (dallo user-agent - ad esempio "Chrome su Windows 11")
• IP e paese dell'ultimo accesso
• Data di aggiunta e di ultimo utilizzo
• Pulsante Rimuovi - revoca immediatamente l'attendibilità (il cookie verrà rifiutato alla richiesta successiva)

Quando rimuovere un dispositivo

• Se ha effettuato l'accesso da un PC altrui o pubblico (bar, biblioteca)
• Se ha perso o venduto il portatile o il cellulare
• Se vede nell'elenco un dispositivo che non riconosce (anche l'IP / il paese)

Misure di sicurezza

• Firma HMAC: il token è firmato con un segreto lato server - un attaccante non può generare un cookie valido senza violare il segreto
• HTTP-only: il JavaScript della pagina non vede il cookie (protezione contro l'esfiltrazione tramite XSS)
• Flag Secure: il cookie viene inviato solo tramite HTTPS
• Per-account: il token contiene lo user ID - un cookie rubato dall'account A non funziona sull'account B
• Scadenza automatica: 30 giorni di validità, poi è necessario reinserire il TOTP
• Al cambio password (tramite "Password dimenticata" o reset) tutti i dispositivi attendibili vengono rimossi automaticamente - un attaccante con il cookie non potrà più saltare il 2FA