Ogni giorno che passa un nuovo servizio online decide di adottare la doppia autenticazione. Oggi è il turno di Evernote, l’applicazione cloud-storage per l’immagazzinamento delle note e degli appunti, presa di mira dagli hacker per ben due volte nel mese di marzo e usata come server C&C (command-and-control).
Tuttavia, pare che la doppia autenticazione sia molto di moda in questi giorni. Infatti, mentre stavo scrivendo questo articolo (che doveva trattare principalmente di Evernote) mi è giunta la notizia che anche LinkedIn ha deciso di abbracciare questa nuova forma di autenticazione.
Forse nuova non è la parola adatta. Non è la prima volta che sentiamo parlare di doppia autenticazione. Gmail la implementò nel settembre del 2010 e in Threatpost ne abbiamo parlato per la prima volta circa 5 anni fa, quando gli esperti di sicurezza IT annunciarono il concetto. La doppia autenticazione è un sistema molto efficace e consigliamo agli utenti di usarlo ogni volta che possono. Va detto però che dal punto di vista della sicurezza informatica rappresenta solo un ostacolo, seppur grande, per gli hacker, ma non una panacea.
Sebbene in ritardo rispetto alla concorrenza, anche Apple e Twitter dovettero abbracciare questo sistema, dato che non ci sono motivi per non offrire la doppia autenticazione ai propri utenti.
Per quanto riguarda Evernote, la nota piattaforma sta introducendo la doppia autenticazione in forma graduale: prima ai suoi clienti premium e solo in un secondo momento sarà disponibile al resto dei clienti. Al di la di questo, il doppio sistema di autenticazione adottato da LinkedIn e da Evernote è praticamente identico a quello utilizzato dalla tua banca o da Google, circa 3 anni fa: se abilitato, quando gli utenti si autenticano in una pagina web devono inserire un secondo codice di verifica (oltre alla password di login). La maggior parte di questi sistemi si affidano a sistemi di invio di codici via SMS o applicazioni mobili per la generazione di codici, come Google Authenticator o il generatore di codici incluso nella app mobile di Facebook.
Aggiungo che, sfortunatamente, gli hacker sono riusciti ad eludere i PIN via SMS in diverse occasioni, in particolare in relazione agli attacchi man-in-the-middle, diretti verso i dispositivi mobili.
La doppia autenticazione è certamente il miglior modo attualmente disponibile per autenticarsi, ma ha scatenato una sorta di ‘corsa a chi sostituisce per primo’ il vecchio metodo con password – corsa che interessa tutti, da Google al Ministero della Difesa degli Stati Uniti. È solo una questione di tempo, ma molto presto ci autenticheremo via tatuaggio o inizieremo a mangiare pillole per poter entrare nella nostra casella di posta elettronica.
Nel frattempo, per evitare violazioni, ti consigliamo di adottare la doppia autenticazione per ogni servizio web a cui sei iscritto. Se adotterai la doppia autenticazione e userai una password forte, aumenterai la tua protezione. I cybercriminali approfittano dell’ingenuità degli utenti: non dare loro nessuna possibilità.