Al giorno d'oggi, sembra che tutti i siti web che visiti ti incoraggiano a utilizzare l'autenticazione a due fattori (2FA).
Uno dei modi più comuni per utilizzare 2FA è inserire un codice univoco dal tuo dispositivo mobile. In genere, si riceve il codice in un messaggio di testo o si utilizza un'app 2FA di terzi per generarne uno.
I due metodi sono entrambi metodi diffusi per utilizzare i codici a seconda della loro convenienza. Tuttavia, entrambi i metodi sono anche deboli dal punto di vista della sicurezza. E poiché il tuo codice 2FA è sicuro solo quanto la tecnologia utilizzata per consegnarlo, i punti deboli sono importanti.
Quindi, cosa c'è di sbagliato nell'usare SMS e app di terze parti per accedere ai tuoi codici? E c'è un'alternativa altrettanto comoda che è più sicura? Spiegheremo tutto. Continua a leggere per scoprire di più.
Come funziona l'autenticazione a due fattori
Prendiamo un momento per discutere di come funziona l'autenticazione a due fattori. Senza comprendere i meccanismi alla base della tecnologia, il resto di questo articolo non ha molto senso.
In termini generali, 2FA aggiunge un ulteriore livello di sicurezza al tuo account. Conosciuto anche come autenticazione a più fattori, le credenziali di accesso sono costituite non solo da una password, ma anche da una seconda informazione a cui solo il legittimo proprietario dell'account ha accesso.
2FA è disponibile in molte forme diverse I pro e i contro dei due tipi di autenticazione e metodi I vantaggi e gli svantaggi dei due tipi e metodi di autenticazione a due fattori I metodi di autenticazione a due fattori non sono creati uguali. Alcuni sono dimostrabilmente più sicuri e più sicuri. Ecco uno sguardo ai metodi più comuni e quelli che meglio soddisfano le esigenze individuali. Leggi di più . Al suo livello più elementare, potrebbe essere qualcosa di semplice come le domande di sicurezza (perché nessun altro potrebbe mai conoscere il nome da nubile di tua madre Perché stai rispondendo alle domande sulla sicurezza delle password errate Perché stai rispondendo alle domande di sicurezza delle password errate Come rispondi online? Domande sulla sicurezza dell'account? Risposte sincere? Sfortunatamente, la tua onestà potrebbe creare una falla nella tua armatura online. Diamo un'occhiata a come rispondere in sicurezza alle domande sulla sicurezza. Per saperne di più o il tuo animale domestico preferito). Alla fine più complicata, potrebbe essere un ID biometrico come una scansione retina o un'impronta digitale.
Perché dovresti evitare la verifica tramite SMS
SMS gode di una posizione come il modo più accessibile per accedere e utilizzare i codici 2FA. Se un sito offre accessi di autenticazione a due fattori, quasi certamente offre SMS come una delle opzioni.
Ma SMS non è un modo sicuro per usare 2FA. Ha due vulnerabilità chiave.
Innanzitutto, la tecnologia è suscettibile agli attacchi di SIM Swap . Non ci vuole molto per un hacker per eseguire uno scambio di SIM. Se hanno accesso a un'altra informazione personale, come il numero di previdenza sociale, possono chiamare il tuo operatore e spostare il tuo numero su una nuova scheda SIM.
In secondo luogo, gli hacker possono intercettare i messaggi SMS . Tutto torna al sistema di instradamento del telefono ora datato Signaling System No. 7 (SS7). La metodologia è stata progettata nel 1975 ma è ancora utilizzata quasi globalmente per connettere e disconnettere le chiamate. Gestisce anche le traduzioni dei numeri, la fatturazione prepagata e in particolare i messaggi SMS.
Non sorprende che questa tecnologia del 1975 sia piena di buchi di sicurezza. Ecco come l'esperto di sicurezza Bruce Schneier ha descritto i difetti:
"Se gli aggressori hanno accesso a un portale SS7, possono inoltrare le conversazioni a un dispositivo di registrazione online e reindirizzare la chiamata alla destinazione prevista [...] Significa che un criminale ben attrezzato potrebbe afferrare i messaggi di verifica e usarli prima di te" Li ho persino visti. "
Certo, scoprendo che un cyber-criminale ha violato il tuo Facebook Come scoprirlo se il tuo account Facebook è stato hackerato Come scoprire se il tuo account Facebook è stato hackerato Data la quantità di dati che abbiamo aggiunto ai nostri profili, è più importante che mai per assicurarsi di rimanere in cima alle impostazioni sulla privacy di Facebook. Leggi altro account è lontano dall'ideale. Ma la situazione è più spaventosa se si considerano altri gli usi di 2FA. Un cyber-criminale potrebbe rubare i codici che utilizzi nel tuo banking online, o anche avviare e completare trasferimenti di denaro 6 App per aiutarti a trasferire denaro tra amici 6 Apps per aiutarti a trasferire denaro tra amici A volte devi inviare denaro agli amici in modo rapido e sicuro . Ecco sei delle migliori opzioni disponibili. Leggi di più .
Inoltre, Schneier afferma anche che chiunque può acquistare l'accesso alla rete SS7 per circa $ 1.000. Una volta che hanno accesso, possono inviare una richiesta di instradamento. Per completare il problema, la rete potrebbe non autenticare l'origine della richiesta.
Ricorda, utilizzare l'autenticazione a due fattori tramite SMS è meglio che lasciare disattivato 2FA. Ed è probabilmente improbabile che tu diventi una vittima. Tuttavia, se stai iniziando a sentirti un po 'preoccupato, devi continuare a leggere. Molte persone accettano che gli SMS non siano sicuri e invece si rivolgono a app di terze parti.
Ma potrebbe non essere molto meglio.
Perché dovresti evitare le app 2FA
L'altro modo comune per utilizzare i codici 2FA è installare un'app per smartphone dedicata. Ci sono molte tra cui scegliere. Google Authenticator è probabilmente il più riconoscibile, ma non è necessariamente il migliore. Ci sono molte alternative là fuori: controlla Authy, Authenticator Plus e Duo.
Ma quanto sono sicure le app 2FA specializzate? La loro più grande debolezza è la dipendenza da una chiave segreta .
Facciamo un passo indietro per un secondo. Nel caso non lo sapessi, quando ti iscrivi per la maggior parte delle app per la prima volta, dovrai inserire una chiave segreta. Il segreto è condiviso tra te e il fornitore dell'app.
Quando accedi a un sito, il codice che l'app crea è basato su una combinazione della tua chiave e dell'ora corrente. Allo stesso momento, il server sta generando un codice usando le stesse informazioni. I due codici devono corrispondere per consentire l'accesso. Sembra sensato.
Allora, perché le chiavi sono il punto debole? Bene, cosa succede se un cyber-criminale riesce ad accedere al database delle password e dei segreti di un'azienda? Ogni account sarebbe vulnerabile - l'attaccante potrebbe andare e venire Come verificare se qualcun altro sta accedendo al tuo account Facebook Come verificare se qualcun altro sta accedendo al tuo account Facebook È sia sinistro che preoccupante se qualcuno ha accesso al tuo account Facebook senza il tuo conoscenza. Ecco come sapere se sei stato violato. Leggi di più a volontà.
In secondo luogo, il segreto viene visualizzato in formato testo o come codice QR; non può essere sottoposto a hash o usato con un sale Cosa significa tutto questo MD5 Hash Stuff significa in realtà [Tecnologia spiegata] Che cosa significa tutto questo MD5 Hash Stuff significa in realtà [Tecnologia spiegata] Ecco un completo run-down di MD5, hashing e una piccola panoramica di computer e crittografia. Leggi di più . Probabilmente è anche in chiaro sui server della compagnia.
La chiave segreta è il difetto fondamentale nella TOTP (Time-Based One-Time Password) utilizzata dalle app specialistiche. Ecco perché una chiave U2F fisica è sempre un'opzione più sicura.
Difetti nel design e nella sicurezza per le app 2FA
Naturalmente, le probabilità che un cyber-criminale hackerizzi i database necessari di un'app di terze parti sono piuttosto ridotte. Ma la tua app potrebbe anche soffrire di difetti di sicurezza di base nel suo design.
Gestione password popolare LastPass 8 Semplici modi per potenziare la sicurezza LastPass 8 Semplici modi per potenziare la sicurezza LastPass Potresti utilizzare LastPass per gestire le tue numerose password online, ma lo stai utilizzando correttamente? Ecco otto passaggi da eseguire per rendere il tuo account LastPass ancora più sicuro. Leggi di più è caduto vittima a dicembre 2017. Il post sul blog di un programmatore su Medium ha rivelato che le chiavi segrete 2FA potevano essere accessibili senza impronta digitale, password o altre misure di sicurezza.
La soluzione non era nemmeno complicata. Accedendo all'attività delle impostazioni dell'app LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), è possibile accedere al riquadro delle impostazioni per l'app senza alcun controllo. Da lì, è possibile premere Indietro una volta per accedere a tutti i codici 2FA.
LastPass ha risolto il problema, ma le domande rimangono. Secondo il programmatore, aveva cercato di dire a LastPass del problema per sette mesi, ma la società non l'ha mai riparato. Quante altre app 2FA di terze parti non sono sicure? E quante vulnerabilità non risolte sono a conoscenza degli sviluppatori ma ritardano l'applicazione delle patch?
Che cosa fare invece: utilizzare i tasti U2F
Invece di fare affidamento su SMS e 2FA per i tuoi codici, dovresti utilizzare i tasti Universal 2nd Factor Quali sono i tasti U2F e dove sono supportati? Quali sono le chiavi U2F e dove sono supportate? Le chiavi U2F sono uno dei modi migliori per mantenere i tuoi account sicuri e protetti. Ma dove sono supportate le chiavi U2F? Maggiori informazioni (U2F). Sono il modo più sicuro per generare codici e accedere ai tuoi servizi.
Ampiamente considerata una versione di seconda generazione di 2FA, semplifica e rafforza l'attuale protocollo. Inoltre, l'utilizzo dei tasti U2F è quasi altrettanto comodo di un messaggio SMS o di un'app di terze parti.
I tasti U2F usano una connessione NFC o USB. Quando colleghi il tuo dispositivo a un account per la prima volta, genererà un numero casuale chiamato "Nonce". Il Nonce viene hash con il nome di dominio del sito per creare un codice univoco.
Successivamente, è possibile distribuire la chiave U2F collegandola al dispositivo e attendendo che il servizio la riconosca.
Allora, qual è il rovescio della medaglia? Bene, anche se U2F è uno standard aperto, costa ancora soldi per comprare una chiave U2F fisica. E forse più preoccupante, sei a rischio di furto.
Una chiave U2F rubata non rende automaticamente insicuro il tuo account; un hacker avrebbe ancora bisogno di conoscere la tua password. Ma in un'area pubblica, un ladro potrebbe averti già visto inserire la tua password da lontano, prima di rubare i tuoi beni.
I tasti U2F possono essere cari
I prezzi variano notevolmente tra i produttori, ma puoi aspettarti di pagare tra circa $ 15 e $ 50.
Idealmente, si desidera acquistare un modello "certificato FIDO". L'Alleanza FIDO (Fast IDentity Online) è responsabile per l'interoperabilità tra le tecnologie di autenticazione. I membri includono tutti, da Google e Microsoft, a Bank of America e MasterCard.
Acquistando un dispositivo FIDO, puoi essere certo che la chiave U2F funzionerà con tutti i servizi che utilizzi ogni giorno. Controlla la chiave DIGIPASS SecureClick U2F se desideri acquistarne una.
DIGIPASS SecureClick FIDO U2F Chiave di sicurezza DIGIPASS SecureClick FIDO U2F Chiave di sicurezza Acquista ora su Amazon $ 39, 00
Insicuro 2FA è ancora meglio di No 2FA
Per riassumere, le chiavi Universal 2nd Factor forniscono un mezzo felice tra facilità d'uso e sicurezza. SMS è l'approccio meno sicuro, ma anche il più conveniente.
E ricorda, qualsiasi 2FA è meglio di nessun 2FA. Sì, potrebbero essere necessari 10 secondi in più per accedere ad alcune app, ma è meglio che sacrificare la sicurezza.