Indice
Proteggere DirectAdmin con il 2FA
La protezione di un account hosting non dipende soltanto dalla password. Negli ultimi anni gli accessi non autorizzati ai pannelli hosting sono aumentati soprattutto a causa di password rubate, credenziali riutilizzate oppure attacchi phishing costruiti per imitare le pagine di login originali.
Per ridurre questo rischio molti pannelli moderni integrano il 2FA, abbreviazione di Two-Factor Authentication, cioè autenticazione a due fattori.
Il funzionamento è abbastanza semplice. Durante il login non basta inserire username e password, ma viene richiesto anche un secondo codice temporaneo generato tramite smartphone.
Questo codice cambia automaticamente ogni pochi secondi e può essere utilizzato una sola volta. Anche nel caso in cui qualcuno riesca a conoscere la password dell’account, senza il secondo codice il login non può essere completato.
Nel caso di DirectAdmin, il 2FA rappresenta una protezione particolarmente importante perché il pannello permette di gestire praticamente ogni componente dell’hosting.
Da DirectAdmin è infatti possibile:
- gestire file del sito web
- creare account email
- modificare database
- gestire backup
- configurare DNS e domini
- installare certificati SSL
- gestire sottodomini e redirect
- accedere al file manager hosting
Un accesso non autorizzato potrebbe quindi compromettere completamente il sito web oppure permettere attività fraudolente tramite email e servizi collegati al dominio.
Molti utenti utilizzano ancora password troppo semplici oppure riutilizzate su più servizi differenti. Questo comportamento aumenta enormemente il rischio di compromissione dell’hosting.
Se una password viene recuperata da una violazione dati oppure inserita accidentalmente su una pagina phishing, un attaccante potrebbe tentare immediatamente l’accesso al pannello hosting.
Con il 2FA attivo, però, la password da sola non basta più.
Dopo aver inserito le credenziali di accesso, DirectAdmin richiede infatti un codice OTP temporaneo. OTP significa One Time Password, cioè password utilizzabile una sola volta.
Questi codici vengono generati tramite applicazioni installate sul telefono, tra cui:
- Google Authenticator
- Microsoft Authenticator
- Authy
- FreeOTP
Le applicazioni OTP funzionano anche offline e generano automaticamente nuovi codici ogni circa 30 secondi.
L’attivazione del 2FA su DirectAdmin richiede generalmente pochi minuti. La funzione è normalmente disponibile nella sezione dedicata alla sicurezza dell’account.
Dopo aver aperto la schermata relativa all’autenticazione a due fattori, il pannello mostra un QR Code che deve essere scansionato tramite l’app di autenticazione installata sullo smartphone.
Una volta completata la scansione, l’app inizierà immediatamente a generare i codici temporanei associati all’account DirectAdmin.
Per confermare la configurazione sarà sufficiente inserire uno dei codici mostrati sul dispositivo mobile.
Dal login successivo il sistema richiederà automaticamente:
- password dell’account
- codice OTP temporaneo
Questo sistema aumenta notevolmente la sicurezza dell’hosting e riduce il rischio di accessi fraudolenti causati da password compromesse.
Uno dei vantaggi principali del 2FA riguarda la protezione contro gli attacchi phishing. Molte email fraudolente imitano perfettamente le comunicazioni ufficiali dei provider hosting e invitano l’utente a effettuare il login tramite pagine false.
Inserendo le credenziali su questi siti, username e password vengono inviati direttamente all’attaccante.
Senza autenticazione a due fattori il login potrebbe essere completato immediatamente. Con il 2FA attivo, invece, serve anche il codice temporaneo generato sul telefono personale.
Il secondo fattore riduce inoltre il rischio legato al riutilizzo delle password. Molti utenti utilizzano ancora oggi la stessa password su email, ecommerce, social network e pannelli hosting. Se uno di questi servizi viene compromesso, anche gli altri account diventano vulnerabili.
Il 2FA limita fortemente questo problema perché il codice OTP cambia continuamente e non può essere riutilizzato.
Questo sistema non elimina completamente il rischio di compromissione, ma aumenta enormemente la difficoltà di accesso non autorizzato.
Per ottenere una protezione efficace conviene comunque seguire alcune buone pratiche di sicurezza:
- utilizzare password lunghe e casuali
- non riutilizzare le stesse credenziali
- proteggere lo smartphone con PIN o biometria
- aggiornare regolarmente dispositivi e browser
- salvare i recovery code
I codici di recupero sono particolarmente importanti. In caso di perdita dello smartphone oppure reset del dispositivo permettono di recuperare l’accesso all’account senza disattivare completamente il 2FA.
Molti utenti ignorano questo passaggio durante la configurazione iniziale e si trovano poi impossibilitati ad accedere al pannello dopo aver cambiato telefono oppure dopo un reset accidentale dell’app di autenticazione.
Conviene quindi conservare i recovery code in un luogo sicuro e separato dal dispositivo utilizzato per generare i codici OTP.
Oggi l’autenticazione a due fattori rappresenta uno dei sistemi più semplici ed efficaci per aumentare la sicurezza di un account hosting. Attivare il 2FA su DirectAdmin richiede pochi minuti ma permette di proteggere molto meglio siti web, email, database e dati presenti nel servizio hosting.
Come attivare il 2FA su DirectAdmin
Come prima cosa bisogna accedere al pannello email
Bisogna poi cliccare su Profilo utente (1) e poi Two-Step Verification (2) per poi cliccare su Generate Secret (3)
Si aprirà questa schermata dove si dovrà scansionare il qrcode e poi confermarlo inserendo il primo codice sotto
L’autenticazione a 2 fattori sarà quindi attivata (Salvare i codici di recupero cliccando su “download”)
Quando ci si collegherà al pannello verrà quindi chiesto il codice di verifica
