Quest’articolo riguarda gli aspetti più importanti della autenticazione a 2 fattori, compreso di cosa si tratta, come funziona e quando può essere usata.
Più volte abbiamo sentito parlare di database di password trafugati, di attacchi sotto forma di phishing, di malware che memorizzano la sequenza di caratteri digitati sulla tastiera e persino di skimmer installati negli sportelli bancomat che utilizziamo o nei dispositivi POS dei nostri negozi preferiti.
I giorni in cui era sufficiente fare affidamento su una password di otto caratteri sono finiti, oggi servono modalità più efficaci e affidabili per le nostre autenticazioni.
Che cos’è l’autenticazione a due fattori?
L’autenticazione a 2 fattori, comunemente detta 2FA o altrimenti denominata verifica a più fattori o in due passaggi, è il processo di verifica dell’identità di un soggetto attraverso due o tre possibili elementi d’identificazione:
- Qualcosa che si conosce
- Qualcosa che si possiede
- Qualcosa che si è
La tradizionale autenticazione online si affidava a qualcosa che si conosceva, una password. Questo approccio presentava una serie di problemi:
- Una password è un segreto che va condiviso con l’organizzazione che verifica l’identità. Molto frequentemente non si ha modo di accertare che la propria password sia stata trasmessa o che venga conservata in modo sicuro.
- Chiunque vi stia osservando, sia che utilizzi un keylogger o che più semplicemente si trovi in piedi dietro di voi, può carpire il vostro segreto.
- Si ha difficoltà nel memorizzare passphrases solide, di conseguenza la gente è portata a usare password già utilizzate oppure non abbastanza complesse.
Richiedendo un fattore supplementare, come un codice generato da un token RSA o inviato via SMS al vostro cellulare, è possibile ridurre drasticamente il rischio di sostituzione d’identità.
1. Qualcosa che si conosce
Qualcosa che si conosce fa riferimento alla password e quando si tratta di password, la lunghezza incide perciò si preferisce usare delle passphrase, con la speranza che la gente si prenda a cuore la questione e scelga qualcosa tipo: “JustThe2ofus,youandi.JusttheTWOofus.” piuttosto che “Princess123″.
2. Qualcosa che si possiede
L’autenticazione a 2 fattori è solitamente una combinazione di qualcosa che si conosce e di qualcosa che si possiede. Il secondo fattore, ciò che si possiede, è molto spesso un token installato su un dispositivo mobile che si possiede. Esistono due tipologie principali di token mobile:
- Token che si usano online (challenge/responde based)
- Token che si usano offline (time, sequence o OTP based).
Token online: I token online offrono spesso la possibilità di digitare la risposta includendo la firma crittografata della transazione. Immaginate una smartcard, tipo una carta di credito Chip & PIN EMV. Invece di inviare un numero statico come una tradizionale carta di credito, il chip è in grado di firmare in maniera crittografata una transizione dicendo ”Autorizza il trasferimento di 41,23 dollari da me a Sophos”. Ciò impedisce a un ladro di versare 500 dollari a un altro commerciante perché non è più in grado di ottenere le mie chiavi che gli consentirebbero di siglare la transizione.
Token offline: Token offline funzionano solitamente attraverso una chiave segreta condivisa. Esistono tre tipologie principali di token offline: time based, sequence based e one time. I token time-based sono alimentati da una batteria e fanno hashing con il numero corrente dei secondi trascorsi dal 1 gennaio 1969 e mostrano sul display una parte del risultato, solitamente un numero a sei cifre. L’hashing utilizza un segreto condiviso tra il soggetto che esegue l’autenticazione e il token. Ciò permette al primo di calcolare il valore presente sul display e ed essere certo che corrisponda a quello inserito.
Un’altra tipologia di token è quella sequence-based. Si basa sul concetto che voi abbiate un elenco prestabilito di numeri, come un pad one-time. Anche se le vostre comunicazioni fossero spiate, non sarebbe possibile conoscere il prossimo numero valido della sequenza. I malintenzionati potrebbero spiare il vostro numero attuale, ma ciò potrebbe non permettere loro di continuare a danneggiarvi in futuro.
Un altro metodo diffuso è in pratica quello pad on-demand, on-time. I pad one-time non sono violabili se usati correttamente e la loro applicazione evoluta prevede che un codice di autenticazione sia trasmesso all’utente o attraverso un SMS oppure con una telefonata in automatico. Come nel caso degli altri token offline, possono essere spiati, ma hanno una bassa barriera d’ingresso. L’utente non necessita di avere un dispositivo costruito allo scopo e neppure dev’essere in possesso di uno smartphone.
3. Qualcosa che si è
Il terzo fattore da considerare siete voi stessi. Qualcosa di voi può essere catturato attraverso il vostro riconoscimento facciale, le vostre impronte digitali, la linea delle vene della vostra mano, la stampa dell’iride o il disegno della retina. In questi casi i problemi non mancano. La scansione del disegno delle vene o della retina, la lettura delle impronte digitali può risultare molto accurata, ma essere molto costosa.
Il riconoscimento dell’iride e la stampa del viso si sono dimostrati troppo facili da falsificare. Sono interessanti per giocarci (alcuni dispositivi Android permettono lo sblocco facciale), ma sono troppo inaffidabili per farvi affidamento nel supportare l’autenticazione.
Rimangono le impronte digitali. La probabilità di rubare la tua password o il tuo token in aggiunta alla probabilità che qualcuno trafughi un’impronta digitale adatta è infinitamente piccola. Occorre in primo luogo convincere le persone che vengono autenticate a cedere i loro dati biometrici,inoltre, a differenza di una password, se la scansione della retina o delle impronte digitali è stata rubata, non può certo essere modificata.
Pro e contro dell’autentificazione a due fattori
L’autenticazione a 2 fattori migliora notevolmente la sicurezza attraverso uno sforzo ragionevolmente minimo.
I token offline come RSA e altri sono ragionevolmente sicuri, pur avendo un costo per utente basso. ma molti utenti dimenticano di portarli con sé o li perdono, aumentando così, nel corso del tempo, la manodopera e il costo per utente. Moltissime persone preferiscono utilizzare il loro cellulare come token. E’ indubbiamente una comodità, ma se si sta utilizzando il telefono sia per inserire una password, sia per ricevere un codice, esso diventa un singolo punto di vulnerabilità. Tuttavia, anche prevedendo lo scenario peggiore, la possibilità di essere vulnerabili è limitata a una singola transazione. Vale sempre la pena di aumentare le difficoltà di chi compie l’attacco con un fattore significativo.Spesso non potrete effettuare una scelta su quale tipo di autenticazione a due fattori vi è proposta, ma vi consigliamo di approfittare del meglio di ciò che viene offerto.
Quando la 2FA è disponibile
Nella speranza che vi siate convinti che valga la pena adottare l’autenticazione a due fattori, dov’è possibile usufruirne?
Ecco una lista dei più importanti provider di posta e di social network che vi offrono la possibilità di rendere più sicura la vostra identità in rete.
- Facebook: è molto flessibile nella sua offerta di autenticazione a due fattori. Per modificare le opzioni, cliccare sull’icona dell’ingranaggio nell’angolo in alto a destra e selezionare Impostazioni | Protezione. Le opzioni si trovano o alla voce approvazione degli accessi oppure alla voce generatori di codici. È possibile scegliere se si desidera utilizzare: autenticazione SMS, telefono, una lista di password one-time, usare l’applicazione Google Authenticator o quella di Facebook per smartphone per il secondo fattore.
- Gmail: I servizi di Google offrono l’autenticazione a due fattori attraverso: l’applicazione Google Authenticator per gli smartphone, gli SMS, il telefono e una password one-time. Per modificare le impostazioni, digitare l’indirizzo https://accounts.google.com/b/0/SmsAuthSettings e scegliere le preferenze di sicurezza.
- Twitter: Twitter offre o l’autenticazione via SMS oppure un’applicazione che esegue un prompt per i vostri accessi da computer sconosciuti. Nonostante la modalità SMS sia più semplice, non permette l’accesso a un account Twitter da parte di organizzazioni che lo richiedono per più persone. Le applicazioni Twitter per Android e iOS consentono a più persone che condividono lo stesso account di utilizzare l’autenticazione a due fattori.
- LinkedIn: Gli utenti di LinkedIn hanno parecchie limitazioni. Possono utilizzare solo l’autenticazione a due fattori tramite SMS. Per attivare l’opzione, scegliere Privacy e impostazioni | Account | Gestisci le impostazioni di sicurezza.
- Microsoft Hotmail/Outlook.com: Mixcrosoft supporta l’applicazione Google Authenticator, gli SMS e l’autenticazione via email. Non crediamo che la posta elettronica conti veramente come secondo fattore, tuttavia è una delle opzioni disponibili se siete utenti di Microsoft.
Conclusioni
Nessuna di queste soluzioni risolve il problema di persone che in rete si spacciano per voi, ma rende loro molto più difficile farlo. Se potete, sfruttate il vostro vantaggio su di loro e rendete il più arduo possibile il loro tentativo di spendere i vostri soldi.
Se volete saperne di più sull’autenticazione a 2 fattori, ascoltate il podcast Sophos Techknow 2FA:
Fonte: Sophos-Tratto da una traduzione da Naked Security