L’autenticazione a due fattori è oggi alla base della sicurezza informatica sul web, Ma è davvero una protezione invalicabile per i nostri account?
Quando il giornalista e blogger Mat Honan raccontò la complessa storia di come un hacker riuscì ad azzerargli la vita online, quasi nessuno si preoccupava di proteggere seriamente i propri account. E dire che entrare nei vari profili online di Honan fu un gioco da ragazzi, l’hacker non fece altro che chiamare l’assistenza Apple fingendo di essere lui. Superata quella prima barriera, è riuscito a entrare in ogni altro account, soprattutto l’ambito Twitter, vero e unico bersaglio dell’attacco. Era solo il 2012, cinque anni fa, e da allora gli esperti di sicurezza hanno consigliato di attivare l’autenticazione a due fattori (2FA). Per chi non sapesse di cosa stiamo parlando, rimandiamo ad un articolo comparso su questo blog giusto poco tempo fa. Negli ultimi mesi, però, diversi commentatori si sono interrogati sulla reale efficacia di quella che è considerata un pilastro della sicurezza informatica odierna.
1 Autenticazione a due fattori – E’ davvero sicura?
Il “bersaglio” di questi interrogativi è, in particolare, l’autenticazione realizzata tramite SMS. Il sistema più rudimentale di 2FA è infatti anche il meno sicuro. Sulla carta è semplicissimo: si appaia il proprio numero di telefono alla password con cui si entra nell’account. Per accedere, servirà un codice che sarà ricevuto tramite SMS. In questo modo, l’ingresso sarà impossibile se non si possede anche il cellulare di riferimento. Una scelta adatta per l’utente comune, dato che l’eventuale hacker dovrebbe rubare cellulare e password. Troppo lavoro, per un bersaglio tanto piccolo. Ma ci sono delle scorciatoie.
2 Autenticazione a due fattori – Una falla decisiva
Il metodo espone ad un grande rischio: la facilità con cui è possibile entrare nelle reti dei grandi carrier telefonici. L’allarme era stato lanciato già nel 2016 da un documento pubblicato dal National Insitute of Standards and Technology. L’ente americano notava che l’utilizzo degli sms come secondo fattore è facilmente soggetto a dirottamenti. In particolare, gli hack diretti agli account dei singoli utenti presso i carrier telefonici. In particolare, tramite la falla di sicurezza SS7, come segnalato in questo articolo di Kaspersky Lab. Oppure la scarsa sicurezza dei protocolli VoIP, che allo stesso modo consentono di dirottare SMS su SIM clonate. Insomma, niente che non sia di dominio pubblico presso ricercatori di sicurezza informatica e hacker etici.
3 Autenticazione a due fattori – Alternative?
Un articolo recentemente comparso su The Verge mette in fila i vari sistemi di autenticazione a due fattori. In prima battuta, in quanto a sicurezza, viene considerato l’utilizzo di un token hardware abilitato , con Yubikey ancora una volta a fare la parte del leone. Il token creato da Yubico non è certo l’unico sul mercato, ma resta il più sicuro nonché il più completo a livello di caratteristiche. Da notare che molti fra gli account più sensibili a intrusioni, in particolare Facebook e Google, offrono la compatibilità con i token hardware. L’uso di un’app dedicata, come Google Authenticator e Authy, viene giudicato “buono”. Nonostante i problemi di reset, le app genera-codici vengono giudicate positivamente in quanto a sicurezza informatica. Basta stare attenti a disattivarle nel caso di cambio telefono o ripristino dei dati. Oppure, cercare delle guide per spostarle da un telefono all’altro. Ovviamente, la verifica via SMS viene sonoramente bocciata, anche in luce delle recenti intrusioni da parte di hacker iraniani nei confronti degli account Telegram di vari attivisti e protestanti per i diritti umani.
4 Autenticazione a due fattori – Non esiste protezione definitiva
La dura realtà è che ogni account non è difendibile al 100%, esattamente come la porta di casa. Si possono accumulare difese su difese, ma ci sarà sempre un modo per entrare. La chiave è rendere l’intrusione il più difficile possibile, in modo da scoraggiare gli hacker casuali e meno attrezzati.