Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

L'autenticazione a due fattori via SMS non è sicura: ecco le alternative
- MERCOLEDÌ 7 NOVEMBRE 2018


Ormai l'autenticazione a due fattori è un meccanismo di sicurezza piuttosto diffuso e conosciuto da parte degli utenti: effettivamente è un meccanismo che garantisce maggiore sicurezza, ma il termine viene di solito usato per indicare soltanto l'autenticazione a due fattori che prevede l'uso di SMS per l'invio di password a tempo, "usa e getta". Paradossalmente però, l'opzione più conosciuta e diffusa è anche la meno affidabile:
  • è facile sbirciare le password, sopratutto se nel nostro schermo sono attivate le notifiche;
  • anche a notifiche disattivate si corre un rischio: è possibile infatti rimuovere la scheda SIM e usarla su un altro smartphone. A quel punto è possibile visualizzare gli SMS con le password a tempo;
  • se lo smartphone è infettato da trojan o keylogger, le password possono essere intercettate;
  • tramite tecniche truffaldine (la cosiddetta Ingegneria Sociale) gli attaccanti possono ottenere da negozi di telefonia schede SIM con i numeri delle vittime. Ogni SMS destinato a quel numero quindi finirebbe direttamente in mano dei cyber attaccanti, mentre la scheda della vittima finirebbe scollegata dalla rete;
  • le intercettazioni di questi SMS possono avvenire anche via exploit che sfruttano vulnerabilità del sistema operativo mobile. Una falla piuttosto semplice da sfruttare, ad esempio, è presente nel protocollo SS7 (con SS7 si indicano una serie di protocolli di segnalazione telefonica).
Tutti i metodi sopra indicati, ci teniamo a specificarlo, sono stati e sono tutt'ora realmente utilizzati per intercettare le password inviate via SMS. 

Le alternative
1. codici monouso su file/carta
il modo più semplice per sostituire le password temporanee è disporre di password usa e getta preparate in precedenza. E' un sistema di sicurezza valido per la maggior parte dei servizi ai quali ci colleghiamo frequentemente, ma anche per i social. Basta richiedere al servizio di generare una decina di password temporanee da usare successivamente per il login. E' premura dell'utente tenere queste password al sicuro (in forma cartacea o digitale): l'opzione più comoda è memorizzarle in un password manager. 

2. Le App "just in time"
esistono anche numerose app che generano codici monouso/temporanei a richiesta, ovvero sul momento, quando servono. La lista di codici monouso infatti ha il grande difetto...di non essere infinita!

3. Le App di autenticazione
le app di autenticazione generano i codici in base a una chiave (nota solo all'utente e al server) e tenendo conto dell'orario: le componenti così sono le stesse sia per voi che per il servizio, generando così i codici in maniera sincronizzata. Di solito queste app utilizzano l'algoritmo OATH TOTP (Time-based One-Time Password). 

E' però un sistema che si utilizza pochissimo, per quanto molto sicuro, poichè il rischio che il contatore vada fuori fase e i codici non siano generati in sincrono è concretamente alto. 

I problemi di compatibilità
La maggioranza delle app per l'autenticazione a due fattori utilizza lo stesso algoritmo, quindi qualsiasi app può, genericamente parlando, essere usata su svariati servizi che supportano questo tipo di autenticazione. Ci sono però svariate eccezioni: alcuni servizi, per scelte meramente interne, preferiscono creare proprie app di autenticazione a due fattori che funzionano solo per quel dato servizio. In sunto queste app possono essere usate solo sulle piattaforme per le quali sono state pensate. Per fare un esempio, Adobe ha il proprio Adobe Authenticator che funziona solo ed esclusivamente per gli account AdobeID (anche se, va detto, l'uso di Adobe Authenticator non è esclusivo: nella piattaforma Adobe è possibile infatti usare anche altre app di autenticazione compatibili). 

Sono comunque, questi, casi rari: la maggior parte delle aziende IT lascia ai propri utenti la libertà di scegliere l'app di autenticazione che preferiscono. Potrete quindi scegliere tenendo conto sopratutto delle funzionalità aggiuntive che le varie app di autenticazione vi possono offrire. 

Alcuni consigli...
1. Google Authenticator
  • facilissima da usate, poche impostazioni da configurare;
  • basta aggiungere un nuovo token oppure cancellarne uno già esistente;
  • il codice è copiabile con una sola pressione del dito.
  • Piattaforme:  Android, iOS.
Ha però poche funzionalità aggiuntive e una interfaccia piuttosto "minimal".


2. Microsoft Authenticator
  • rende assai facile il collegamento agli account Microsoft: basta digitare la password e fare tap sull'app per avere conferma dell'accesso (non è cioè necessario inserire il codice monouso);
  • i codici sono visibili di default, ma è possibile nasconderli;
  • ogni token può essere nascosto separatamente.
  • Piattaforme: Android, iOS.
Interfaccia minimal, ma offre più funzionalità di Google Authenticator. 

3. FreeOTP
  • è un software opensource, indubbiamente l'app più leggera disponibile attualmente (la versione iOS pesa 750kb);
  • nasconde i codici di default. I codici vengono visualizzati solo quando si fa tap sul token;
  • si possono configurare manualmente i token;
  • è possibile optare anche per il metodo tradizionale tramite scansione del QR code. 
  • Piattaforme: Android, iOS. 
Gli autenticatori hardware...
oltre alle app, esistono anche autenticatori fisici, hardware appunto. Sono i preferiti dagli esperti di sicurezza informatica perchè risultano molto semplici per l'utente: basta collegare il token al dispositivo e registrarlo sul servizio compatibile. Fatto ciò, si connette il token U2F (Universal 2nd Factor - standard di sicurezza di FIDO Alliance) al dispositivo dal quale ci si sta collegando e si fa tap sul tasto token (alcuni autenticatori richiedono anche l'inserimento di un PIN oppure, in caso siano a protezione biometrica, la scansione dell'impronta digitale).


Anche la cifratura è molto sicura: quando si registra il token a un servizio, viene creata una coppia di chiavi, pubblica e privata. La chiave pubblica finisce immagazzinata sul server, quella privata viene immagazzinata in un chip che il cuore del token U2F. Se anche un cyber criminale tentasse una intercettazione senza avere la chiave privata o disponendo di una chiave sbagliata, otterrebbe in cambio soltanto un messaggio indecifrabile. 

Tipi di autenticatori hardware disponibili...
Tutti i sistemi di autenticazione hardware compatibili con lo standard di sicurezza U2F funzionano su qualsiasi servizio compatibile con questo standard. Ciò che li differenzia altro non è che l'interfaccia supportata dalla chiave, cosa che determina i dispositivi con i quali si può interfacciare: 
  • USB: da collegare al PC, sia su ambienti Windows, Mac e Linux. Solitamente non si necessita dell'installazione di alcun driver. 
  • NFC: per l'uso su smartphone e tablet Android.
  • Bluetooth: in uso su tutti i dispositivi mobile che non dispongono di NFC. Un esempio: chi possiede un iPhone, dato che questo sistema operativo ha ancora bisogno di un sistema di autenticazione via blueetooth. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 19 NOVEMBRE 2018
Instagram ha esposto accidentalmente le password di alcuni utenti
Instagram ha recentemente risolto una problematica di sicurezza nel proprio sito web per la quale le password di alcuni utenti sono finite esposte nel web. Ha inviato qui...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Cookie Policy - Login