Centinaia di milioni di persone utilizzano le password ogni giorno: sbloccano i nostri dispositivi, la posta elettronica, i social network e persino i conti bancari. Tuttavia, le password sono un sempre più debole modo per proteggerci: non passa quasi una settimana senza che una grave gaffe in materia di sicurezza faccia notizia. Questa settimana lo è Cisco - produttore di gran parte dell'hardware che essenzialmente alimenta Internet.
In questo momento, quasi tutti stanno cercando di andare oltre le password autenticazione a più fattori: richiedere “qualcosa che hai” o “qualcosa che sei” oltre a qualcosa che conosci. Le tecnologie biometriche che misurano occhi, impronte digitali, volti e/o voci lo sono diventando più pratico, ma spesso falliscono per alcune persone e sono difficili da offrire a centinaia di milioni di utenti.
Video consigliati
Non stiamo trascurando l’ovvio? La soluzione alla sicurezza multifattore non è già nelle nostre tasche?
Imparentato
- I 15 smartphone più importanti che hanno cambiato il mondo per sempre
- SMS 2FA è insicuro e dannoso: usa invece queste 5 fantastiche app di autenticazione
- La fatica dell'abbonamento all'app sta rapidamente rovinando il mio smartphone
Banca online
Che ci crediate o no, gli americani utilizzano da anni l’autenticazione a più fattori ogni volta che effettuano operazioni bancarie online – o, almeno, versioni annacquate di essa. Nel 2001, il Federal Financial Institutions Examination Council (FFIEC) ha richiesto ai servizi bancari online statunitensi di implementare una vera autenticazione multifattore entro il 2006.
È il 2013 e stiamo ancora accedendo all'online banking con password. Quello che è successo?
"Fondamentalmente, le banche hanno esercitato pressioni", ha affermato Rich Mogull, CEO e analista di Securosi. “La biometria e i token di sicurezza possono funzionare bene isolatamente, ma è molto difficile applicarli anche solo al settore bancario. I consumatori non vogliono avere a che fare con molteplici cose del genere. La maggior parte delle persone non inserisce nemmeno i codici di accesso sui telefoni.
Quindi le banche hanno reagito. Entro il 2005, la FFIEC ha emanato linee guida aggiornate che consentiva alle banche di autenticarsi tramite password e “identificazione del dispositivo” – in pratica, profilando i sistemi degli utenti. Se un cliente accede da un dispositivo noto, ha solo bisogno di una password; in caso contrario, il cliente dovrà fare ulteriori passi avanti, di solito domande di sfida. L'idea è che i dispositivi di profilazione equivalgano a verificare qualcosa degli utenti Avere (un computer, smartphone o tablet) da accompagnare alla password Sapere.
Le banche sono diventate più sofisticate nell'identificare i dispositivi e linee guida federali ancora più recenti richiedono che le banche utilizzino qualcosa di più di un cookie del browser facilmente copiabile. Ma il sistema è ancora debole. Tutto avviene su un singolo canale, quindi se un malintenzionato riesce a entrare nella connessione di un utente (magari tramite furto, hacking o malware), è tutto finito. Inoltre, chiunque viene trattato come un cliente che utilizza un nuovo dispositivo e come New York Times editorialista David Pogue può confermarlo, le domande di sicurezza con risposta veritiera a volte offrono scarsa protezione.
Tuttavia, la forma limitata di sicurezza multifattoriale dell’online banking lo ha fatto grande vantaggio per i consumatori. Per la maggior parte degli utenti, nella maggior parte dei casi, la profilazione del dispositivo è invisibile e funziona proprio come una password, cosa che quasi tutti comprendono.
Autenticatore di Google
Token digitali, carte di sicurezza e altri dispositivi vengono utilizzati da decenni nell'autenticazione a più fattori. Tuttavia, come la biometria, finora nulla si è dimostrato fattibile per milioni di persone comuni. Inoltre, non esistono standard diffusi, quindi le persone potrebbero aver bisogno di una dozzina di portachiavi, token, chiavette USB e carte diverse per accedere ai loro servizi preferiti. Nessuno lo farà.
E che dire dei telefoni che abbiamo in tasca? Quasi un anno fa i ricercatori hanno scoperto quasi il 90% degli adulti americani possedeva telefoni cellulari – quasi la metà aveva uno smartphone. I numeri devono essere più alti ora: sicuramente verranno utilizzati per l’autenticazione a più fattori?
Questa è l’idea alla base La verifica in due passaggi di Google, che invia un codice PIN monouso a un telefono tramite SMS o voce quando si accede ai servizi Google. Gli utenti inseriscono sia la password che il codice per accedere. Naturalmente, i telefoni possono essere smarriti o rubati e, se la batteria si scarica o non è disponibile alcun servizio mobile, gli utenti rimangono bloccati. Ma il servizio funziona anche con i feature phone ed è sicuramente più sicuro, anche se meno conveniente, della sola password.
La verifica in due passaggi di Google diventa più interessante con Autenticatore di Google, disponibile per Android, iOS e BlackBerry. Google Authenticator utilizza TOTP (Time-based One-Time Password), uno standard supportato da Iniziativa per l'autenticazione aperta. Fondamentalmente l'app contiene un segreto crittografato e genera un nuovo codice di sei cifre ogni 30 secondi. Gli utenti inseriscono quel codice insieme alla propria password per dimostrare di avere il dispositivo corretto. Finché l'orologio del telefono è corretto, Google Authenticator funziona senza servizio telefonico; inoltre, i suoi codici di 30 secondi funzionano altro servizi che supportano TOTP: in questo momento, questo include Dropbox, LastPass, E Servizi Web di Amazon. Allo stesso modo, altre app che supportano TOTP possono funzionare con Google.
Ma ci sono problemi. Gli utenti inviano i codici di verifica sullo stesso canale delle password, quindi sono vulnerabili agli stessi scenari di intercettazione dell'online banking. Poiché le app TOTP contengono un segreto, chiunque (in qualsiasi parte del mondo) potrebbe generare codici legittimi se l'app o il segreto vengono violati. E nessun sistema è perfetto: il mese scorso Google ha risolto un problema che poteva consentirlo prese di conto totali tramite password specifiche dell'app. Divertimento.
Dove andiamo da qui?
Il problema più grande con sistemi come la verifica in due passaggi di Google è semplicemente che sono una seccatura. Vuoi giocherellare con il telefono e i codici ogni singola volta accedi ad un servizio? I tuoi genitori, nonni, amici o figli? La maggior parte delle persone no. Anche i tecnofili che amano il fattore interessante (e la sicurezza) probabilmente troveranno il processo scomodo in poche settimane.
I numeri suggeriscono che il dolore è reale. A gennaio, Google ha fornito Wired Robert MacMillan un grafico dell'adozione in due fasi, incluso un picco che accompagna Mat Honan “Hacking epico” articolo dello scorso agosto. Notate quale asse non ha etichette? I rappresentanti di Google hanno rifiutato di dire quante persone usano l'autenticazione a due fattori, ma il vicepresidente della sicurezza di Google Eric Grosse ha detto a MacMillan che un quarto di milione di utenti si sono iscritti dopo l'articolo di Honan. In base a questo parametro, la mia stima approssimativa è che circa 20 milioni di persone si sono iscritte fino ad oggi, appena un'ammaccatura su oltre 500 milioni di persone Google affermazioni avere account Google+. Questa cifra sembrava più o meno esatta a una dipendente di Google che non voleva essere nominata: stimava che meno del dieci per cento degli utenti Google+ “attivi” si fossero iscritti. "E non tutti lo mantengono", ha osservato.
“Quando hai un pubblico sfrenato, non puoi assumere alcun tipo di comportamento oltre quelli basilari, soprattutto se non hai dato a quel pubblico un motivo per farlo. Volere questo comportamento”, ha affermato Christian Hessler, CEO della società di autenticazione mobile LiveGarantire. “Non è possibile formare un miliardo di persone a fare qualcosa che non vogliono fare”.
LiveEnsure fa affidamento sulla verifica fuori banda degli utenti tramite il proprio dispositivo mobile (o anche tramite e-mail). Inserisci solo un nome utente (o utilizza un servizio di accesso singolo come Twitter o Facebook) e LiveEnsure sfrutta il contesto più ampio dell'utente per l'autenticazione: non è richiesta alcuna password. Al momento, LiveEnsure utilizza la "linea di vista": gli utenti scansionano un codice QR sullo schermo utilizzando il proprio telefono per confermare il proprio accesso, ma presto arriveranno altri metodi di verifica. LiveEnsure elude l'intercettazione utilizzando una connessione separata per la verifica, ma non fa affidamento su segreti condivisi nei browser, nei dispositivi o persino nel suo servizio. Se il sistema viene violato, LiveEnsure afferma che i singoli pezzi non hanno alcun valore per un utente malintenzionato.
"Ciò che c'è nel nostro database potrebbe essere spedito su CD come regalo di Natale, e sarebbe inutile", ha detto Hessler. "Nessun segreto viene trasmesso, l'unica transazione è un semplice sì o no."
L’approccio di LiveEnsure è più semplice rispetto all’inserimento dei PIN, ma richiede comunque che gli utenti giocherino con dispositivi mobili e app per accedere. Altri mirano a rendere il processo più trasparente.
Toopher sta sfruttando la consapevolezza della propria posizione da parte dei dispositivi mobili tramite GPS o Wi-Fi come un modo per autenticare in modo trasparente gli utenti, almeno da posizioni pre-approvate.
"Toopher sta fornendo più contesto alla decisione di autenticazione per renderla invisibile", ha affermato il fondatore e CTO Evan Grimm. "Se un utente di solito è a casa e fa operazioni bancarie online, può automatizzarlo per rendere invisibile la decisione."
L'automazione non è necessaria: gli utenti possono confermare ogni volta sul proprio dispositivo mobile, se lo desiderano. Ma se gli utenti dicono a Toopher cosa è normale, devono solo avere il telefono in tasca e l’autenticazione avviene in modo trasparente. Gli utenti inseriscono semplicemente una password e tutto il resto è invisibile. Se il dispositivo si trova in una posizione sconosciuta, gli utenti devono confermare sul proprio telefono e, in caso contrario, no connettività, Toopher ricorre a un PIN basato sul tempo utilizzando la stessa tecnologia di Google Autenticatore.
"Toopher non cerca di cambiare radicalmente l'esperienza dell'utente, ha affermato Grimm. "Il problema con altre soluzioni multifattore non era che non aggiungessero protezione, ma che cambiavano l'esperienza dell'utente e quindi presentavano ostacoli all'adozione."
Devi essere nel gioco
Le password non scompariranno, ma saranno aumentate da posizioni, PIN monouso, soluzioni line-of-sight e line-of-sound, dati biometrici o persino informazioni sui dispositivi Bluetooth e Wi-Fi nelle vicinanze. Gli smartphone e i dispositivi mobili sembrano il modo più probabile per aggiungere più contesto per l’autenticazione.
Certo, devi essere nel gioco se vuoi giocare. Non tutti hanno uno smartphone e la nuova tecnologia di autenticazione potrebbe escludere gli utenti privi di tecnologie recenti, lasciando il resto del mondo più vulnerabile agli attacchi hacker e ai furti di identità. La sicurezza digitale potrebbe facilmente diventare qualcosa che distingue chi ha da chi non ha.
E, finora, non si può dire quali soluzioni vinceranno. Toopher e LiveEnsure sono solo due dei tanti attori, e tutti affrontano un problema dell'uovo e della gallina: senza l'adozione da parte sia degli utenti che dei servizi, non aiutano nessuno. Toopher ha recentemente ottenuto 2 milioni di dollari in finanziamenti per l'avvio; LiveEnsure sta parlando con alcuni grandi nomi e spera di uscire presto dalla modalità invisibile. Ma è troppo presto per dire dove andrà a finire qualcuno.
Nel frattempo, se un servizio su cui fai affidamento offre qualsiasi forma di autenticazione a più fattori, tramite SMS, un’app per smartphone o persino una telefonata, prendilo in seria considerazione. È quasi certamente una protezione migliore della semplice password… anche se è quasi certamente anche una seccatura.
Immagine tramite Shutterstock / Adam Radosavljevic
[Aggiornato il 24 marzo 2013 per chiarire i dettagli su FFIEC e LiveEnsure e correggere un errore di produzione.]
Raccomandazioni degli editori
- Come trovare i file scaricati sul tuo iPhone o smartphone Android
- Il tuo piano Google One ha appena ricevuto due importanti aggiornamenti di sicurezza per tenerti al sicuro online
- Come il tuo smartphone potrebbe sostituire una fotocamera professionale nel 2023
- Il Pixel 6 di Google è un buon smartphone, ma basterà a convincere gli acquirenti?
- Il responsabile di Google afferma di essere “deluso” dal nuovo programma di sicurezza per iPhone di Apple
