SMS e autenticazione a due fattori

Error occurredL’autenticazione a due fattori si basa su due di queste tre caratteristiche:

  • quello che sei
  • quello che sai
  • quello che hai.

La prima delle tre (i dati biometrici in generale) è apparentemente la più pratica perché non si dimentica, non è copiabile (se la lettura è ben fatta) e non la si perde (a meno di mutilazioni, ovviamente). I dati biometrici espongono però una persona a rischi che in molti contesti sono giudicati troppo elevati per i dati da custodire: si pensi ad un malvivente che punta un’arma ad una persona per obbligarla a sbloccare qualcosa con l’impronta digitale. Si può ovviare il problema con il panic code usato come secondo fattore, ma c’è il concreto rischio che l’attaccante sappia del panic code e abbia reazioni spiacevoli.

Ecco perché l’autenticazione a due fattori più comune tra i servizi Internet si basa su una password (quello che sai) e un codice generato da un sistema terzo (quello che hai).

A parte soluzioni fatte in casa, uno dei primi metodi utilizzati è stato il token RSA: un piccolo dispositivo a forma di carta di credito (prima) o di portachiavi (poi) con un display a sei cifre il cui contenuto cambia ogni minuto. All’atto dell’accesso l’utente mette la propria password e il contenuto del display. Il sistema di RSA era considerato assolutamente sicuro fin quando la ditta non ha subito un attacco informatico.

Vista la diffusione dei dispositivi cellulari, si è pensato di utilizzarlo come secondo fattore. Google ha creato il suo software di autenticazione multipiattaforma e un set di API che vengono utilizzati sia dai servizi di Google sia da terze parti come Dropbox. Per ora non esistono vulnerabilità note di questo sistema.

Altri preferiscono utilizzare gli SMS, una funzione disponibile su qualsiasi telefono cellulare: al momento del login l’utente riceve un SMS con un codice che deve essere copiato in un campo apposito. Il sistema sembrava inattaccabile, fino alla diffusione della notizia di malware per dispositivi mobili che catturano gli SMS simili a quelli dell’autenticazione delle banche. Forse sarebbe meglio utilizzare un Nokia 1100 come secondo fattore di autenticazione via SMS.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “SMS e autenticazione a due fattori”

Spazio per un commento