Perché utilizzare la MFA il più possibile

Perché utilizzare la MFA il più possibile

| Andrea Pinzani | cybersecurity month 2021
Articolo letto 622 volte

Smart-working - identità digitali in pericolo

A causa della crisi sanitaria globale, il lavoro da casa si è affermato sempre di più.

foto di Andrea Pinzani, Consortium GARR
Andrea Pinzani, Consortium GARR

Ciò offre vantaggi, ma porta anche ulteriori sfide alla sicurezza informatica. Con l’aumentare degli smart-worker, è stato registrato un incremento dei reati informatici a danno degli utenti, in particolare delle loro identità.
Inoltre sono sempre di più le informazioni personali che spostiamo nel cloud per comodità, è quindi importante assicurarci che i nostri dati siano al sicuro.

Le password sono fragili

Attualmente le password sono il metodo di autenticazione più usato, ma purtroppo non sono un metodo forte in quanto non siamo bravi nel concepire password robuste, in realtà sono troppo semplici o brevi, sono predicibili e vengono riutilizzate su più servizi.
Il numero di password compromesse a seguito di phishing o di data breach è in aumento.
Secondo un recente report più dell’80% dei data breach avviene per mezzo di credenziali rubate, c’è quindi una specie di effetto valanga.
Occorre tenere presente che qualsiasi altra misura di sicurezza come antivirus, firewalls ecc., perde completamente la propria efficacia di fronte ad un accesso illecito effettuato mediante credenziali rubate.
Quando per accedere occorre inserire solamente un nome utente e una password, si parla di autenticazione a singolo fattore.

MFA - multi-factor authentication

Per rendere il processo di autenticazione più resistente agli attacchi si utilizzata la MFA, cioè per accedere ad un servizio è necessario presentare non uno ma più fattori di autenticazione. Il presupposto è che si ritiene improbabile che un attore non autorizzato sia in grado di procurarsi tutti i fattori necessari all'accesso.
Uno schema MFA include una combinazione di alcuni dei seguenti fattori:

  • Qualcosa che si conosce: password, PIN, ecc.
  • Qualcosa che si possiede: cellulare, chiave di sicurezza ecc.
  • Qualcosa che si è (biometria): impronta digitale, il viso, la voce, ecc.

2FA - two-factor authentication

La forma più semplice e diffusa di MFA è l'autenticazione a due fattori (2FA).
Un esempio di 2FA è il prelievo bancomat: solo la corretta combinazione di una carta bancaria (che si possiede) e di un PIN (che si conosce) permette di effettuare la transazione.

Per i servizi online, nella maggior parte dei casi, il primo fattore di autenticazione è una password, mentre il secondo fattore è in genere un codice monouso a tempo (Time-Based One-Time Password (TOTP)), composto da 6 o 8 cifre, che si ottiene tramite un dispositivo che si possiede, tipicamente uno smartphone.
Se un aggressore carpisce la tua password non potrà accedere senza avere anche il tuo dispositivo 2FA.

I servizi di home banking prevedono per norma la 2FA, ma ormai tutti i siti web delle maggiori aziende Internet, così come centinaia di altri, la offrono. Purtroppo sono ancora pochi gli utenti che la attivano. Per esempio Twitter ha rivelato che solo il 2,3% di tutti gli account attivi ha abilitato un metodo 2FA tra luglio e dicembre 2020.

Tipi comuni di 2FA

Verifica via e-mail. Quando si tenta un accesso viene inviata in automatico una e-mail che conterrà un codice TOTP o un link per confermare che il login è lecito.

Messaggi vocali o via SMS. Quando si tenta di accedere viene inviato un codice TOTP al telefono dell’utente, tramite SMS o telefonata automatica. Una variante di questa tecnica consiste nell’accedere ad un sito tramite username e password, viene quindi visualizzato un codice sulla pagina web, da digitare sul telefono dopo aver chiamato un numero verde.

Notifiche push. Viene inviata una notifica push direttamente a un'app sicura sul dispositivo dell'utente, per avvisarlo che è in corso un tentativo di autenticazione. L’utente può approvare o negare l'accesso. Richiede una connessione ad Internet.

Token software / App di autenticazione. E’ necessario installare un'app di autenticazione sul proprio smartphone o sul pc. Gli utenti inseriscono nome utente e password e poi accedono all'app per leggere un passcode TOTP per completare l’accesso. Alcune delle app di autenticazione più popolari sono Google Authenticator, Microsoft Authenticator e Twilio Authy; anche alcuni gestori di password come 1Password e LastPass offrono la 2FA. Apple ha introdotto un generatore di codici 2FA integrato in iOS 15, iPadOS 15 e macOS Monterey.
Ogni app visualizza un codice che si aggiorna ogni 30 secondi, e rimane costantemente sincronizzata con ogni servizio associato. Non è necessaria una connessione ad Internet.

Token hardware. Sono dispositivi fisici che possono essere suddivisi nei seguenti tipi:

  • Token disconnessi. In genere utilizzano un piccolo display integrato che mostra un codice numerico, l’utente lo deve inserire manualmente. Il sistema bancario in Europa ha abbandonato questo tipo di strumento in favore delle app.
  • Token connessi. Vanno collegati ad un computer o a uno smartphone e trasmettono i dati di autenticazione in automatico. Un esempio sono i lettori di schede (smartcard), ed i token per porta USB ma anche via bluetooth o NFC. La forma più moderna sono le chiavi di sicurezza, che utilizzano il protocollo FIDO U2F (Fast Identity Online - Universal Second Factor). Questi dispositivi costituiscono un token univoco e vanno registrati sul servizio che si vuole proteggere. La versione FIDO2 può consentire di accedere senza nome utente o password, oppure di usare una seconda chiave di sicurezza FIDO al posto di una password. Possono essere usate anche per effettuare il login su sistemi Windows e Apple OS X.

Biometria

L'autenticazione biometrica è sempre più presente nei dispositivi, ed in pratica l'utente diventa il token. È il metodo più semplice ed intuitivo e molti esperti ritengono che il futuro della 2FA risieda in questa tecnologia.
Purtroppo però non è ancora una tecnologia perfetta, a volte i sistemi faticano a confermare una corrispondenza, ma gradualmente questo processo diventerà più fluido e veloce. C’è molta aspettativa anche dalla scansione dell'iride.

Come abilitare la 2FA con le app di autenticazione

Dopo aver installato l’app scelta occorre accedere ad ogni account che si desidera proteggere; non esiste una procedura unica valida per tutti i servizi. Nella configurazione del tuo profilo fai clic su parole come “privacy” e “sicurezza” finché non trovi le opzioni a due fattori disponibili. In molti casi occorre inquadrare un codice QR con lo smartphone così da associare l’app di autenticazione al sito. Il codice può essere scansionato più volte, è importante salvarlo in un luogo sicuro o stamparlo.

I servizi che offrono la 2FA generalmente offrono anche la generazione di codici di backup monouso. Stampali e conservali in un luogo sicuro. Se per qualsiasi motivo non riesci ad accedere alla tua app di autenticazione, sono il metodo principale per evitare di restare tagliato fuori dal tuo account.

Se disponibili e importante attivare anche le notifiche di sicurezza che avvisano quando avviene un login o altri eventi relativi al proprio account.

Alcune implementazioni della 2FA semplificano l’accesso, per esempio offrendo la possibilità, dopo una o più autenticazioni complete, di non richiedere più il secondo fattore, se si accede dallo stesso dispositivo o browser fidati.

Attivare ed usare la 2FA comporta un piccolo sforzo, confrontatelo con il disagio ed i danni che una perdita di accesso ai vostri account può causarvi. I cattivi contano sul fatto che siate negligenti nel proteggervi.

Non tutti i fattori 2FA sono uguali – vulnerabilità e svantaggi

La 2FA non è invulnerabile, in ogni caso migliora la sicurezza e le probabilità di compromissione sono basse. Qualsiasi forma di 2FA è sempre meglio della sola password.

Verifica via e-mail. E’ la forma meno sicura di 2FA. Gli hacker possono carpire la password della casella di posta o del malware può riuscire a leggere la posta in locale.

Messaggi vocali o via SMS. Un aggressore può riuscire a reindirizzare e leggere gli SMS:

  • inducendo un utente ad installare un'app dannosa (malware)
  • hackerando la rete cellulare (SS7 protocol vulnerability)
  • con l'ingegneria sociale, fingendosi l’utente ed inducendo l’operatore di fonia mobile a trasferire il numero della vittima su una SIM in suo possesso (attacco SIM-swap). I gestori di fonia mobile stanno comunque migliorando la sicurezza delle proprie procedure.

Svantaggi

  • Richiede una connessione Internet attiva
  • Alcune persone sono a disagio nel rivelare il proprio numero. C’è un rischio per la privacy, alcune aziende hanno abusato di questa informazione per inviare pubblicità.

Token software / App di autenticazione. Le app di autenticazione sono più sicure degli SMS perché evitano il rischio di SIM-swap, ma nel 2020 è stato scoperto un tipo di malware in grado di rubare codici 2FA da Google Authenticator.

Attacchi di tipo phishing. Un aggressore può creare un sito web falso con lo stesso aspetto di uno originale, ed inviare un messaggio artefatto che richiede all’utente di connettersi. Se l’utente abbocca l'aggressore può ottenere nome utente, password e codice di autenticazione.
Oppure attraverso un messaggio fasullo via SMS (smishing) o una chiamata vocale (vishing), un hacker può spacciarsi per la vostra banca, chiedendovi di confermare la vostra identità, citando il codice di sicurezza che vi è stato appena inviato. Anche se con i codici TOTP è più difficile attuare attacchi efficaci, non condividete mai i vostri codici di verifica con nessuno.

Token hardware. Le chiavi di sicurezza sono la forma più sicura di 2FA, ed includono protezioni integrate dagli attacchi di tipo phishing o MITM (Man-in-the-Middle). Le informazioni sono archiviate su un dispositivo hardware dedicato e quindi non possono essere duplicate, a meno che venga manomesso fisicamente.
Lo svantaggio principale consiste nel dover portare con sé un token fisico. Lo smarrimento ed il furto sono possibili rischi. Infine le chiavi di sicurezza hanno un certo costo.

Reset della password. Il ripristino della password può funzionare come uno strumento per violare la 2FA perché la "bypassa" completamente. Una soluzione può essere l’uso di una forma di 2FA per l'accesso, e una seconda combinazione di 2FA per il ripristino della password.

Nonostante i problemi elencati la combinazione password più app di autenticazione è la soluzione migliore e più diffusa per uso personale. Aggiunge solo pochi secondi al tempo necessario all’accesso, è gratuita ed incrementa notevolmente la sicurezza online. Se ancora non la utilizzate, forse è tempo per un upgrade!

Andrea Pinzani: è IT security expert presso il Consortium GARR. Dal 1999 lavora presso il GARR-CERT (cert.garr.it). Si occupa della segnalazione e gestione degli incidenti di sicurezza informatica. Pubblica security alert sulle vulnerabilità più comuni. Fornisce supporto e formazione agli utenti nell’ambito della cybersecurity. Si dedica inoltre allo studio e all’analisi delle fonti di cyber intelligence per la protezione operativa dei dati.

Ti è piaciuto questo articolo? Faccelo sapere!
Dai un voto da 1 (poco) a 5 (tanto), ne terremo conto per scrivere i prossimi articoli.

Voto attuale:
Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

Archivio GARR NEWS