L’autenticazione a due fattori si basa su due di queste tre caratteristiche:
- quello che sei
- quello che sai
- quello che hai.
La prima delle tre (i dati biometrici in generale) è apparentemente la più pratica perché non si dimentica, non è copiabile (se la lettura è ben fatta) e non la si perde (a meno di mutilazioni, ovviamente). I dati biometrici espongono però una persona a rischi che in molti contesti sono giudicati troppo elevati per i dati da custodire: si pensi ad un malvivente che punta un’arma ad una persona per obbligarla a sbloccare qualcosa con l’impronta digitale. Si può ovviare il problema con il panic code usato come secondo fattore, ma c’è il concreto rischio che l’attaccante sappia del panic code e abbia reazioni spiacevoli.
Ecco perché l’autenticazione a due fattori più comune tra i servizi Internet si basa su una password (quello che sai) e un codice generato da un sistema terzo (quello che hai).
A parte soluzioni fatte in casa, uno dei primi metodi utilizzati è stato il token RSA: un piccolo dispositivo a forma di carta di credito (prima) o di portachiavi (poi) con un display a sei cifre il cui contenuto cambia ogni minuto. All’atto dell’accesso l’utente mette la propria password e il contenuto del display. Il sistema di RSA era considerato assolutamente sicuro fin quando la ditta non ha subito un attacco informatico.
Vista la diffusione dei dispositivi cellulari, si è pensato di utilizzarlo come secondo fattore. Google ha creato il suo software di autenticazione multipiattaforma e un set di API che vengono utilizzati sia dai servizi di Google sia da terze parti come Dropbox. Per ora non esistono vulnerabilità note di questo sistema.
Altri preferiscono utilizzare gli SMS, una funzione disponibile su qualsiasi telefono cellulare: al momento del login l’utente riceve un SMS con un codice che deve essere copiato in un campo apposito. Il sistema sembrava inattaccabile, fino alla diffusione della notizia di malware per dispositivi mobili che catturano gli SMS simili a quelli dell’autenticazione delle banche. Forse sarebbe meglio utilizzare un Nokia 1100 come secondo fattore di autenticazione via SMS.
4 risposte a “SMS e autenticazione a due fattori”
Tra l’altro l’autenticazione via SMS è fallibile nel momento in cui l’attaccante conosce il numero di cellulare dell’attaccato: avere una SIM col numero dell’attaccato sembra purtroppo fin troppo semplice (http://www.finanzaonline.com/forum/banking-carte-di-credito-conti-deposito-e-correnti/1397446-molteplici-cambi-pin-fraudolenti-e-furto-tramite-bonifici-su-conto-corrente-arancio.html)
[…] Abilitare l’autenticazione a due fattori nei servizi che lo permettono. Google, Twitter e Dropbox sono tra i servizi che dispongono di questa opzione. Attenzione che anche questa tecnologia ha dei punti deboli. […]
[…] a ogni servizio chiave per la continuità del business deve avvenire attraverso l’autenticazione a due fattori. Da sola non serve a proteggere dagli accessi non autorizzati, ma rende la vita difficile […]
[…] Apple, come Google, Dropbox e altri, offre la possibilità di abilitare l’autenticazione a due fattori. Alcuni utenti la possono vedere come una seccatura o una scomodità, decidano loro se è più […]