Sommario:
- Le basi di 2FA
- Le insidie pratiche
- Il problema del recupero dell'account
- 2FA è in realtà molto buono
Video: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)
Questa settimana sto tornando alla mia busta senza fondo per affrontare un'altra domanda sull'autenticazione a due fattori (2FA). È un argomento che ho toccato prima, ma a giudicare dal volume e dalla specificità delle domande che ho ricevuto al riguardo, è chiaramente un problema a cui molte persone stanno pensando. Dato che vedo 2FA come, forse, l'unica cosa migliore che le persone normali possono fare per stare online in sicurezza, sono più che felice di parlarne all'infinito.
La domanda di oggi viene da Ted, che ha scritto chiedendo se i sistemi 2FA sono davvero tutto ciò che sono stati creati. Nota che la lettera di Ted è stata modificata per brevità. Ted inizia il suo messaggio facendo riferimento ad alcuni dei miei altri scritti su 2FA.
Hai scritto "Dopo aver registrato la chiave di sicurezza, i codici di accesso SMS saranno un'opzione di backup nel caso in cui perdessi o non riesci ad accedere alla chiave." Se questo è vero, allora perché questo dispositivo è più sicuro di un codice SMS 2FA? Come hai anche scritto, "Ma i telefoni possono essere rubati e il jack SIM è apparentemente una cosa di cui dobbiamo preoccuparci ora".
Che cosa impedisce a qualcuno di dire a Google che sei tu, che hai perso la chiave di sicurezza e che è necessario un codice SMS inviato al tuo telefono rubato / jack? Se lo capisco correttamente, questo dispositivo non è più sicuro dei messaggi SMS 2FA. È molto più conveniente, questo è certo, ma non riesco a vedere come sia più sicuro.
Il risultato di tutto ciò è che la chiave di sicurezza aumenterà la tua sicurezza, ma solo perché hai maggiori probabilità di usarla, non perché sia intrinsecamente più sicura di 2FA? Cosa mi sto perdendo?
Non ti stai perdendo nulla, Ted. In effetti, sei intelligente per affrontare un problema fondamentale alla base di gran parte della sicurezza che circonda l'autenticazione online: come fai a verificare in modo sicuro chi sono le persone, senza rendere impossibile per loro recuperare i loro account?
Le basi di 2FA
Vediamo prima alcune nozioni di base. L'autenticazione a due fattori, o 2FA, è un concetto di sicurezza in cui è necessario presentare due prove di identità, chiamate fattori, da un elenco di tre possibili.
- Qualcosa che sai , come una password.
- Qualcosa che hai , come un telefono.
- Qualcosa che sei , come la tua impronta digitale.
In termini pratici, 2FA significa spesso una seconda cosa da fare dopo aver inserito la password per accedere a un sito o servizio. La password è il primo fattore e il secondo potrebbe essere un messaggio SMS inviato al telefono con un codice speciale o l'utilizzo del FaceID di Apple su un iPhone. L'idea è che mentre una password può essere indovinata o rubata, è meno probabile che un utente malintenzionato possa ottenere sia la password sia il secondo fattore.
Nella sua lettera, Ted chiede in modo specifico le chiavi hardware 2FA. La serie YubiKey di Yubico è probabilmente l'opzione più conosciuta, ma è tutt'altro che l'unica opzione. Google ha le proprie chiavi Titan Security e Nitrokey offre una chiave open source, per nominarne solo due.
Le insidie pratiche
Nessun sistema di sicurezza è perfetto e 2FA non è diverso. Guemmy Kim, responsabile della gestione dei prodotti per il team di sicurezza degli account di Google, ha giustamente sottolineato che molti dei sistemi su cui facciamo affidamento per il recupero degli account e 2FA sono sensibili al phishing. Qui è dove i cattivi usano siti falsi per indurti a inserire informazioni private.
Uno degli attacchi più esotici sarebbe il jack SIM, in cui un utente malintenzionato clona la tua carta SIM o inganna la tua compagnia telefonica per annullare la registrazione della tua carta SIM, al fine di intercettare i tuoi messaggi SMS. In questo scenario, l'attaccante potrebbe impersonare in modo molto efficace, poiché potrebbe utilizzare il tuo numero di telefono come proprio.
Un attacco non così esotico è semplice perdita e furto. Se il tuo telefono o un'app sul tuo telefono è il tuo autenticatore principale e lo perdi, sarà un mal di testa. Lo stesso vale per le chiavi hardware. Sebbene le chiavi di sicurezza hardware, come Yubico YubiKey, siano difficili da decifrare, sono molto facili da perdere.
Yubico Yubikey Series 5 è disponibile in diverse configurazioni.Il problema del recupero dell'account
Ciò che Ted sottolinea nella sua lettera è che molte aziende richiedono di impostare un secondo metodo 2FA, oltre a una chiave di sicurezza hardware. Google, ad esempio, richiede l'utilizzo di SMS, l'installazione dell'app Authenticator dell'azienda o la registrazione del dispositivo per ricevere notifiche push da Google che verificano l'account. Sembra che tu abbia bisogno di almeno una di queste tre opzioni come backup su qualsiasi altra opzione 2FA che usi, come le chiavi Titan di Google.
Anche se si registra una seconda chiave di sicurezza come backup, è comunque necessario abilitare SMS, Google Authenticator o notifiche push. In particolare, se si desidera utilizzare il Programma di protezione avanzata di Google, è richiesta la registrazione di una seconda chiave.
Allo stesso modo, Twitter richiede anche l'uso di codici SMS o di un'app di autenticazione oltre a una chiave di sicurezza hardware opzionale. Sfortunatamente, Twitter ti consente di registrare solo una chiave di sicurezza alla volta.
Come sottolineato da Ted, questi metodi alternativi sono tecnicamente meno sicuri rispetto all'utilizzo di una chiave di sicurezza da sola. Posso solo immaginare il motivo per cui questi sistemi sono stati implementati in questo modo, ma sospetto che vogliano assicurarsi che i loro clienti possano sempre accedere ai loro account. I codici SMS e le app di autenticazione sono opzioni testate nel tempo che sono facili da capire e che non richiedono l'acquisto di dispositivi aggiuntivi. I codici SMS risolvono anche il problema del furto del dispositivo. Se si perde il telefono o viene rubato, è possibile bloccarlo in remoto, rimuovere l'autorizzazione della sua carta SIM e ottenere un nuovo telefono in grado di ricevere i codici SMS per tornare online.
Personalmente, mi piace avere più opzioni disponibili perché mentre sono preoccupato per la sicurezza, conosco anche me stesso e so di perdere o distruggere le cose abbastanza regolarmente. So che le persone che non hanno mai usato 2FA prima sono molto preoccupate di trovarsi bloccate fuori dal loro account se usano 2FA.
2FA è in realtà molto buono
È sempre importante comprendere gli svantaggi di qualsiasi sistema di sicurezza, ma ciò non invalida il sistema. Mentre 2FA ha i suoi punti deboli, ha avuto un enorme successo.
Ancora una volta, dobbiamo solo guardare a Google. La società ha richiesto l'utilizzo di chiavi hardware 2FA internamente e i risultati parlano da soli. Le acquisizioni di account di successo dei dipendenti Google sono effettivamente svanite. Ciò è particolarmente importante se si considera che i dipendenti di Google, con la loro posizione nel settore tecnologico e la (presunta) ricchezza, sono i primi ad attacchi mirati. È qui che gli attaccanti fanno grandi sforzi per colpire specifici individui in un attacco. È raro e di solito ha successo se l'attaccante ha fondi e pazienza sufficienti.
Il pacchetto di chiavi di sicurezza di Google Titan include chiavi USB-A e Bluetooth.L'avvertenza qui è che Google ha richiesto un tipo specifico di 2FA: chiavi di sicurezza hardware. Questi hanno il vantaggio rispetto ad altri schemi 2FA in quanto molto difficili da phishing o intercettare in altro modo. Qualcuno potrebbe dire impossibile, ma ho visto cosa è successo al Titanic e so meglio.
Tuttavia, i metodi per intercettare i codici SMS 2FA o i token di autenticazione sono abbastanza esotici e non si adattano bene. Ciò significa che è improbabile che vengano utilizzati dal criminale medio, che sta cercando di fare soldi il più rapidamente e facilmente possibile, sulla persona media, come te.
Il punto di Ted: le chiavi di sicurezza hardware sono il modo più sicuro che abbiamo mai visto per fare 2FA. Sono molto difficili da phishing e molto difficili da attaccare, anche se non sono privi delle loro debolezze intrinseche. Inoltre, le chiavi hardware 2FA sono in qualche modo a prova di futuro. Molte aziende si stanno allontanando dai codici SMS e alcune hanno persino adottato accessi senza password che si basano interamente sulle chiavi hardware 2FA che utilizzano lo standard FIDO2. Se stai usando una chiave hardware ora, ci sono buone probabilità che sarai sicuro per gli anni a venire.
Nitrokey FIDO U2F promette sicurezza open source.- Autenticazione a due fattori: chi ce l'ha e come configurarla Autenticazione a due fattori: chi ce l'ha e come configurarla
- Google: Gli attacchi di phishing che possono battere due fattori sono in aumento Google: Gli attacchi di phishing che possono battere due fattori sono in aumento
- SecurityWatch: come non essere bloccato con l'autenticazione a due fattori SecurityWatch: come non essere bloccato con l'autenticazione a due fattori
Per quanto siano sicure le chiavi hardware 2FA, l'ecosistema più grande richiede alcuni compromessi per evitare di bloccare inutilmente il tuo account. 2FA deve essere una tecnologia che le persone usano effettivamente, altrimenti non vale niente.
Data la scelta, penso che la maggior parte delle persone userà le opzioni 2FA basate su app e SMS poiché sono più facili da configurare ed efficacemente gratuite. Queste potrebbero non essere le migliori opzioni possibili, ma funzionano molto bene per la maggior parte delle persone. Ciò potrebbe cambiare presto, tuttavia, ora che Google ti consente di utilizzare un dispositivo mobile con Android 7.0 o versioni successive come chiave di sicurezza hardware.
Nonostante i suoi limiti, 2FA è probabilmente la cosa migliore per la sicurezza dei consumatori sin dall'antivirus. Previene ordinatamente ed efficacemente alcuni degli attacchi più devastanti, il tutto senza aggiungere troppa complessità alla vita delle persone. Comunque decidi di usare 2FA, scegli un metodo che abbia senso per te. Non usare 2FA è molto più dannoso che usare un sapore 2FA leggermente meno grande.