Perché le persone dicono che l'autenticazione a due fattori non è perfetta

Quando è stata introdotta per la prima volta l'autenticazione a due fattori, ha rivoluzionato la sicurezza dei dispositivi e ha contribuito a rendere molto più difficile il furto di identità, con il leggero costo di piccoli inconvenienti aggiunti agli accessi.

Ma non è perfetto, né ha risolto tutti i nostri problemi di hacking e furto di dati. Alcune notizie recenti hanno fornito più contesto su come gli hacker hanno eluso l'autenticazione a due fattori ed erodendo parte della nostra fiducia in essa.

Cos'è esattamente l'autenticazione a due fattori?

L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza al processo di accesso per dispositivi e servizi. In precedenza, gli accessi avevano un unico fattore per l'autenticazione, in genere una password o un accesso biometrico come una scansione delle impronte digitali o Face ID, occasionalmente con l'aggiunta di domande di sicurezza. Ciò ha fornito una certa sicurezza, ma era tutt'altro che perfetto, soprattutto con password deboli o password compilate automaticamente (o se i database di accesso vengono violati e tali informazioni iniziano a essere visualizzate nel dark web).

L'autenticazione a due fattori risolve questi problemi aggiungendo un secondo fattore, un'altra cosa che una persona deve fare per garantire che sia davvero lei e che abbia l'autorità per accedere. In genere, ciò significa ricevere un codice tramite un altro canale, come ricevere un messaggio di testo o un'e-mail dal servizio, che devi quindi inserire.

Alcuni utilizzano codici sensibili al tempo (TOTP, password monouso basata sul tempo) e altri utilizzano codici univoci associati a un dispositivo specifico (HOTP, password monouso basata su HMAC). Alcune versioni commerciali possono persino utilizzare chiavi fisiche aggiuntive che è necessario avere a portata di mano.

La funzione di sicurezza è diventata così comune che probabilmente sei abituato a vedere messaggi del tipo "Ti abbiamo inviato un'e-mail con un codice di sicurezza da inserire, controlla il filtro antispam se non l'hai ricevuto. È più comune per i nuovi dispositivi e, sebbene richieda un po' di tempo, è un enorme salto in termini di sicurezza rispetto a un fattore metodi. Ma ci sono alcuni difetti.

Sembra abbastanza sicuro. Qual è il problema?

Di recente è uscito un rapporto della società di sicurezza informatica Sophos che descrive in dettaglio un nuovo modo sorprendente gli hacker stanno ignorando l'autenticazione a due fattori: biscotti. I cattivi attori hanno "rubato i cookie", che consente loro di accedere praticamente a qualsiasi tipo di browser, servizio Web, account di posta elettronica o persino file.

In che modo questi criminali informatici ottengono questi cookie? Bene, Sophos osserva che la botnet Emotet è uno di questi malware che ruba i cookie e prende di mira i dati nei browser Google Chrome. Le persone possono anche acquistare cookie rubati attraverso i mercati sotterranei, che è stato reso famoso nel recente caso di EA in cui i dettagli di accesso sono finiti su un mercato chiamato Genesis. Il risultato sono stati 780 gigabyte di dati rubati che sono stati utilizzati per tentare di estorcere l'azienda.

Sebbene si tratti di un caso di alto profilo, il metodo sottostante è là fuori e mostra che l'autenticazione a due fattori è tutt'altro che una pallottola d'argento. Oltre al semplice furto di cookie, ci sono una serie di altri problemi che sono stati identificati nel corso degli anni:

• Se un hacker ha ottenuto il nome utente o la password per un servizio, potrebbero avere accesso alla tua email (soprattutto se utilizzi la stessa password) o al tuo numero di telefono. Ciò è particolarmente problematico per l'autenticazione a due fattori basata su SMS/testo, poiché i numeri di telefono sono facili da trovare e possono essere utilizzati per copiare il telefono (tra gli altri trucchi) e ricevere il codice tramite SMS. Ci vuole più lavoro, ma un hacker determinato ha ancora una chiara strada da percorrere.
• App separate per l'autenticazione a due fattori, come Google Auth o Duo, sono molto più sicure, ma i tassi di adozione sono molto bassi. Le persone tendono a non voler scaricare un'altra app solo per motivi di sicurezza per un singolo servizio e le organizzazioni trovano molto più facile chiedere semplicemente "E-mail o SMS?" piuttosto che richiedere ai clienti di scaricare a app di terze parti. In altre parole, i migliori tipi di autenticazione a due fattori non vengono realmente utilizzati.
• A volte le password sono troppo facili da reimpostare. I ladri di identità possono raccogliere informazioni sufficienti su un account per chiamare il servizio clienti o trovare altri modi per richiedere una nuova password. Questo spesso elude qualsiasi autenticazione a due fattori coinvolta e, quando funziona, consente ai ladri l'accesso diretto all'account.
• Le forme più deboli di autenticazione a due fattori offrono poca protezione contro gli stati-nazione. I governi dispongono di strumenti che possono facilmente contrastare l'autenticazione a due fattori, incluso il monitoraggio dei messaggi SMS, la costrizione dei gestori wireless o l'intercettazione dei codici di autenticazione in altri modi. Questa non è una buona notizia per coloro che vogliono modi per mantenere i propri dati privati ​​​​da regimi più totalitari.
• Molti schemi di furto di dati aggirano completamente l'autenticazione a due fattori concentrandosi invece sull'inganno degli esseri umani. Basta guardare tutti i tentativi di phishing che fingono di provenire dalle banche, agenzie governative, fornitori di servizi Internet, ecc., che richiedono informazioni importanti sull'account. Questi messaggi di phishing possono sembrare molto reali e possono includere qualcosa del tipo: "Abbiamo bisogno del tuo codice di autenticazione da parte nostra in modo che possiamo anche confermare che sei il titolare dell'account" o altri trucchi per ottenere codici.

Devo continuare a utilizzare l'autenticazione a due fattori?

Assolutamente. In effetti, dovresti passare attraverso i tuoi servizi e dispositivi e abilitare l'autenticazione a due fattori dove è disponibile. Offre una sicurezza significativamente migliore contro problemi come il furto di identità rispetto a un semplice nome utente e password.

Anche l'autenticazione a due fattori basata su SMS è molto meglio di nessuna. Infatti, il National Institute of Standards and Technology una volta sconsigliava l'uso di SMS nell'autenticazione a due fattori, ma poi lo ha riportato indietro l'anno successivo perché, nonostante i difetti, valeva comunque la pena averlo.

Quando possibile, scegli un metodo di autenticazione non collegato ai messaggi di testo e avrai una migliore forma di sicurezza. Inoltre, mantieni le tue password sicure e utilizzare un gestore di password per generarli per gli accessi se puoi.

Come si può migliorare l'autenticazione a due fattori?

L'allontanamento dall'autenticazione basata su SMS è il grande progetto attuale. È possibile che l'autenticazione a due fattori passi a una manciata di app di terze parti come Duo, che rimuovono molti dei punti deboli associati al processo. E più campi ad alto rischio passeranno all'autenticazione MFA, o multi-fattore, che aggiunge un terzo requisito, come un'impronta digitale o ulteriori domande di sicurezza.

Ma il modo migliore per rimuovere i problemi con l'autenticazione a due fattori è introdurre un aspetto fisico basato sull'hardware. Le aziende e le agenzie governative stanno già iniziando a richiederlo per determinati livelli di accesso. Nel prossimo futuro, c'è una buona possibilità che avremo tutti carte di autenticazione personalizzate nei nostri portafogli, pronte per strisciare sui nostri dispositivi quando accediamo ai servizi. Può sembrare strano ora, ma con il forte aumento degli attacchi alla sicurezza informatica, potrebbe finire per essere la soluzione più elegante.

Raccomandazioni della redazione

• Perché la Nvidia RTX 4060 Ti semplicemente non è sufficiente per il 2023
• I ranghi degli hacker esplodono: ecco come puoi proteggerti
• Perché la modalità di navigazione in incognito di Google Chrome non è ciò che afferma di essere
• Ecco perché le persone dicono che non vale la pena aspettare Nvidia RTX 4090
• Ecco perché le persone dicono di acquistare il MacBook Air M1 invece dell'M2

Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, recensioni divertenti sui prodotti, editoriali penetranti e anticipazioni uniche.