Vi ricordate il leakaggio dello scorso anno che ha messo in pericolo le foto personali (alcune in desabillè) di molte celebrity? Il caso non solo ha fatto parlare molto di sé per tanto tempo, ma si è anche trasformato in un precedente.
Per esempio ha fatto capire a molte persone che usare il nome del loro animale domestico come password non è molto sicuro e che l’autenticazione a doppio fattore o verifica a due passaggi non è una cosa che devono usare solo gli informatici, ma tutti – soprattutto chi possiede un iPhone.
Le foto in questione sono state rubate dal servizio iCloud di Apple dove normalmente vengono immagazzinate delle copie. Gli hacker hanno impiegato un modo molto semplice per penetrare nel servizio, ovvero attraverso una combinazione di phishing e forza bruta. Per riparare il danno e proteggere i suoi utenti, Apple ha abilitato l’autenticazione o verifica in due passaggi su iCloud e ha iniziato a suggerire a tutti i suoi clienti di attivarlo.
What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security
— Kaspersky (@kaspersky) June 9, 2014
Comunque sia, la verifica in due passaggi su iCloud, così come avviene nel caso di Gmail, Facebook e molti altri servizi online, è facoltativa. La maggior parte delle persone preferisce saltare questo passaggio perché lo trova una seccatura e non hanno tempo.
Tuttavia, è molto facile perdere il controllo della propria email e del proprio account social – e succede anche non siete Kim Kardashian. Le conseguenze possono essere devastanti, specialmente se lavorate in una Internet company.
Due serrature sono meglio di una
La maggioranza delle persone pensa che la verifica in due passaggi sia un sistema che invia messaggi usa e getta via SMS. Beh, è uno dei metodi utilizzati ma non è di certo l’unico.
In generale, la verifica in due passaggi è come una porta con due serrature. Una di queste serrature è il metodo tradizionale, composto da login e password, e la seconda potrebbe essere qualsiasi altro metodo. Inoltre, se due serrature non fossero sufficienti, è possibile usare molti altri metodi, ma se si procede in questo senso bisogna essere consapevoli che ci metteremo di più ad aprire la porta. Perciò è meglio iniziare con due serrature.
Le password inviate via SMS sono un metodo relativamente facile e affidabile per accedere ad un servizio, ma non sempre pratico. Ogni volta che eseguite il login ad un servizio, dovrete prima di tutto avere il telefono a portata di mano, aspettare l’SMS e poi inserire il codice…
Se vi sbagliate o ricevete il codice troppo tardi, la procedura va ripetuta. Se, per esempio, la rete cellulare si blocca per una congestione, potreste ricevere il messaggio tardi. Secondo me, alla larga questo metodo può risultare scomodo.
Weak Link: How to lose everything having lost your #SIM-card https://t.co/wha5ECQP6A #security pic.twitter.com/ykU4j1mbvI
— Kaspersky (@kaspersky) November 18, 2014
Se non avete copertura (il che capita spesso quando si viaggia) non potrete ricevere la password. Se perdete, per esempio, il telefono potreste finire per non poter gestire i servizi associati all’invio del codice via SMS, il che è davvero molto frustante.
In questi casi, molti servizi web come Facebook e Google, offrono altre opzioni. Per esempio, codici usa e getta che potete richiedere preventivamente, stampare e immagazzinare in un luogo sicuro.
5 modi per proteggere le tue foto personali con la verifica in due passaggi #privacy #sicurezzaIT
Tweet
Inoltre, l’autenticazione in due passaggi con codici usa e getta inviati via SMS potrebbe essere abilitata non in toto, ma solo quando qualcuno esegue il login da un dispositivo sconosciuto. In pratica, sta a voi decidere il metodo in base alle esigenze. Il metodo sarà lo stesso per qualsiasi app collegata all’account o all’email. Una volta che gli “date da magiare” una password, saranno sazi per un bel po’ di tempo.
Quindi, a meno che non accediate ai vostri servizi online ogni giorno da un dispositivo diverso, l’SMS abilitato dalla verifica in due passaggi non crea grossi problemi. Una volta impostato, funziona abbastanza bene.
L’ID sullo smartphone
Se viaggiate spesso, un modo intelligente per abilitare l’autenticazione in due passaggi potrebbe essere usare un’app speciale. A differenza degli SMS, questo metodo di autenticazione funziona anche offline. Una password usa e getta viene generata non solo sul server, ma anche con lo smartphone (comunque sia va detto che il setup richiederà una connessione a Internet).
Sono molte le app che aiutano a gestire l’autenticazione, ma Google Authenticator è sicuramente uno standard industriale. Oltre a Gmail, questo programma supporta altri servizi come Facebook, Tumblr, Dropbox, Vk.com, WordPress e molti altri.
Add 2-step verification to keep the bad guys out of your Google account http://t.co/8txtgcY1yM #staysafe pic.twitter.com/NuKmVuEpqs
— Google (@Google) October 3, 2013
Se preferite un pack di app con varie funzioni, potreste provare Twilio Authy. È simile a Google Authenticator, ma ha varie opzioni molto utili.
Prima di tutto vi permette di immagazzinare i certificati sul Cloud e di copiarli su altri dispositivi (smartphone, PC, tablet e molte altre piattaforme, tra cui anche Apple Watch). Nel caso di furto o smarrimento del dispositovo, potrete comunque controllare l’account. L’app richiede un PIN ogni volta che questa viene lanciata e la password può essere annullata se il dispositovo viene compromesso.
In secondo luogo, Twilio Authy è molto utile quando si inizia ad usare un nuovo dispositovo, a differenza di Google Authenticator.
Una password unica per gestire tutte le password
Le soluzioni precedentemente menzionate hanno un grande problema di sicurezza. Se state usando lo stesso dispositivo per loggarvi, ricevere SMS con password usa e getta o su questo dispositivo avete installato e state usando un’app che genera password per la verifica a due passaggi, questa protezione potrebbe non essere così affidabile.
Gli hardware token offrono un elevato livello di protezione. I token variano in termini di forma e fattori; possono essere token USB, smart cards, token offline con display digitali ma il principio è fondamentalmente lo stesso. In pratica si tratta di mini computer che generano password usa e getta su richiesta. Le password vengono poi inserite manualmente o automaticamente, per esempio, attraverso un’interfaccia USB.
Just launched today! #YubiKey Edge and Edge-n for #U2F and OTP – http://t.co/gLPM8EUdff pic.twitter.com/LhSJhzdTHR
— Yubico | #YubiKey (@Yubico) April 16, 2015
Tali hardware non dipendono dal fatto che ci sia copertura oppure no, né dal telefono, né da nessun’altro fattore; fanno semplicemente il loro lavoro. Tuttavia, si vendono in modo separato e c’è chi pensa che sia facile perderli perché sono oggetti molto piccoli.
Normalmente questi piccoli dispositivi vengono usati per l’online banking, i sistemi aziendali o altri servizi importanti. Potete anche usare uno di questi eleganti stick USB per proteggere l’account Google o WordPress. Segnaliamo le indicazioni date dalla FIDO alliance, un consorzio industriale nato con l’intento di rendere l’autenticazione online più sicura e al tempo stesso più semplice.
Impianti e chip
Le forme di autenticazione via hardware offrono un alto livello di protezione, ma non sono sempre molto comode da usare. Ad un certo punto potreste essere stufi di dover inserire una USB ogni volta che volete accedere ad un servizio online, senza considerare che le USB non possono essere inserite in uno smartphone.
Sarebbe molto più semplice usare un sistema wireless che si collega via Bluetooth o NFC. Ad ogni modo, in base alle nuove indicazioni sull’autenticazione elaborate dalla FIDO e presentate quest’estate, tutto questo è possibile.
Un codice identificativo che potrebbe servire per identificare il vero utente, potrebbe essere utilizzato dappertutto: nelle tecnologie keychain, in una carta di credito o persino in un chip NFC impiantato sotto pelle. Ogni smartphone sarebbe in grado di leggere questa chiave e autenticare l’utente.
#BionicManDiary, entry 001: the story of how a chip was implanted into my body: https://t.co/tEawdUC2tj by @cheresh pic.twitter.com/dXwzYUdYSC
— Kaspersky (@kaspersky) February 26, 2015
Uno, due, molti
Comunque sia, dopotutto, l’autenticazione in due passaggi è un concetto già del passato. La maggiorparte dei servizi come Google e Facebook usano (silenziosamente) l’analisi multifattoriale per proteggere l’accesso ai servizi; tengono in considerazione il dispositivo e il browser usati per loggarsi, così come la localizzazione e l’uso dei pattern. Le banche usano sistemi simili per individuare attività fraudolente.
Quindi, nel futuro, potremmo probabilmente disporre di soluzioni multi fattoriali avanzate che offrono il giustio equilibrio tra praticità e sicurezza. Uno dei grandi esempi che mostrano questo approccio è Project Abacus che è stato presentato recentemente alla conferenza Google I/O.
4 new @Google projects from #IO15: #Soli, #Jacquard, #Vault and #Abacus https://t.co/W3syPCLuli pic.twitter.com/rRadOQmtng
— Kaspersky (@kaspersky) June 22, 2015
Nel futuro, il tuo ID verrà confermato non solo attraverso una password, ma da una serie di fattori come la localizzazione, quello che stai facendo, la maniera in cui parli, il respiro, il battito cardiaco e molti altri fattori. Il dispositivo che identificherà questi fattori potrebbe essere (e non ci sorprende) lo smartphone.
Un’altro esempio è quello apportato da alcuni ricercatori svizzeri che hanno sperimentato un metodo di autenticazione attraverso i rumori circostanti, i suoni che circondano la persona.
L’idea che si nasconde dietro a questo concetto, che i ricercatori chiamano Sound-Proof, è molto semplice. Una volta che si cerca di accedere ad un certo dispositivo da un computer, il server invia una richiesta ad un’app installata sullo smartphone. Poi sia il computer che lo smartphone registrano il suono circostante, lo trasformano in signature digitali, lo criptano e lo inviano al server per l’analisi. Se tutto corrisponde, serve come prova che si è di fronte all’utente legittimo e che è lui che sta cercando di accedere all’account o al dispositivo.
How ambient sound can keep your data safe http://t.co/USgEnnDM0p pic.twitter.com/11c32HeiIK
— Popular Mechanics (@PopMech) August 18, 2015
Naturalmente anche quest’approccio non è perfetto. Cosa succederebbe se un criminale si sedesse di fronte a voi al ristorante? Il rumore che vi circonda sarà quasi lo stesso. Quindi ci devono essere altri fattori che facciano in modo che nessuno comprometta il vostro account.
Dopo tutto, sia Sound-Proof che Abacus sono stati sviluppati come sistemi futuri. Quando saranno commercializzati, le minacce e le sfide che l’industria della sicurezza informatica dovrà affrontare saranno diverse e questi sistemi evolveranno insieme a loro.
Per quanto riguarda la situazione attuale, assicuratevi almeno di aver attivato l’autenticazione a due passaggi. Su Internet, potete trovare le istruzioni su come attivarla per la paggior parte dei servizi.