Nessun metodo è perfetto, ma le chiavi di sicurezza fisiche sono una forma affidabile di autenticazione a più fattori. Credito:Shutterstock
Quando si tratta di sicurezza informatica personale, potresti pensare che stai andando tutto bene. Forse hai impostato l'autenticazione a più fattori sul tuo telefono in modo da dover inserire un codice che ti è stato inviato via SMS prima di poter accedere alla tua e-mail o al conto bancario da un nuovo dispositivo.
Quello che potresti non capire è che nuove truffe hanno effettuato l'autenticazione utilizzando un codice inviato tramite messaggi SMS, e-mail o chiamate vocali meno sicure di prima.
L'autenticazione a più fattori è elencata nell'Essential Eight Maturity Model dell'Australian Cyber Security Centre come misura di sicurezza consigliata per le aziende per ridurre il rischio di attacchi informatici.
Lo scorso mese, in un elenco aggiornato, autenticazione tramite messaggi SMS, e-mail o chiamate vocali è stato declassato, indicando che non sono più considerati ottimali per la sicurezza.
Ecco cosa dovresti fare invece.
Che cos'è l'autenticazione a più fattori?
Ogni volta che accediamo a un'app o a un dispositivo, di solito ci viene richiesta una qualche forma di controllo dell'identità. Questo è spesso qualcosa che sappiamo (come una password), ma può anche essere qualcosa che abbiamo (come una chiave di sicurezza o una tessera di accesso) o qualcosa che siamo (come un'impronta digitale).
L'ultimo di questi è spesso preferito perché, mentre puoi dimenticare una password o una carta, la tua firma biometrica è sempre con te.
L'autenticazione a più fattori si verifica quando più di un controllo di identità viene condotto tramite canali diversi. Ad esempio, è comune in questi giorni inserire la password, e un codice di autenticazione extra che devi inserire viene inviato al tuo telefono tramite messaggio SMS, e-mail o posta vocale.
Tanti servizi, come banche, offrono già questa funzione. Ti viene inviato un codice "una tantum" sul tuo telefono per confermare l'autorità per eseguire una transazione.
Questo è buono perché:
Come potrebbe andare storto?
Supponiamo che un criminale informatico abbia rubato il tuo telefono, ma lo hai bloccato tramite impronta digitale. Se il criminale vuole compromettere il tuo conto bancario e tenta di accedere, la tua banca invia un codice di autenticazione al tuo telefono.
A seconda di come sono configurate le impostazioni del telefono, il codice potrebbe apparire sullo schermo del telefono, anche quando è ancora bloccato. Il criminale potrebbe quindi inserire il codice e accedere al tuo conto bancario. Tieni presente che le impostazioni "non disturbare" sul telefono non saranno di aiuto poiché il messaggio viene ancora visualizzato, seppur in silenzio. Per evitare questo problema, è necessario disabilitare completamente le anteprime dei messaggi nelle impostazioni del telefono.
Un hack più elaborato prevede lo "scambio della SIM". Se un criminale ha alcuni dei tuoi dati identificativi, potrebbero essere in grado di convincere il tuo operatore telefonico che sei tu e richiedere che una nuova SIM allegata al tuo numero di telefono venga loro inviata. Quel modo, ogni volta che viene inviato un codice di autenticazione da uno dei tuoi account, andrà all'hacker invece che a te.
Questo è successo a un giornalista di tecnologia negli Stati Uniti un paio di anni fa, che ha descritto l'esperienza:"Verso le 21 di martedì, Il 22 agosto un hacker ha scambiato la sua SIM con la mia, presumibilmente chiamando T-Mobile. Questo, a sua volta, spegnere i servizi di rete sul mio telefono e, momenti dopo, ha permesso all'hacker di modificare la maggior parte delle mie password di Gmail, la mia password di Facebook, e scrivi a mio nome. Tutte le notifiche a due fattori sono andate, per impostazione predefinita, al mio numero di telefono, quindi non ne ho ricevuto nessuno e in circa due minuti sono stato escluso dalla mia vita digitale."
Poi c'è la domanda se vuoi fornire il tuo numero di telefono al servizio che stai utilizzando. Facebook è stato preso di mira negli ultimi giorni per aver richiesto agli utenti di fornire il proprio numero di telefono per proteggere i propri account, ma poi consentire ad altri di cercare il proprio profilo tramite il proprio numero di telefono. Secondo quanto riferito, hanno anche utilizzato i numeri di telefono per indirizzare gli utenti agli annunci.
Questo non vuol dire che dividere i controlli di identità sia una cosa negativa, è solo che l'invio di parte di un controllo di identità tramite un canale meno sicuro promuove un falso senso di sicurezza che potrebbe essere peggiore dell'utilizzo di alcuna sicurezza.
L'autenticazione a più fattori è importante, a condizione che venga eseguita tramite i canali giusti.
Quali combinazioni di autenticazione sono le migliori?
Consideriamo alcune combinazioni di autenticazione a più fattori che hanno vari gradi di facilità d'uso e sicurezza.
Una prima scelta ovvia è qualcosa che sai e qualcosa che hai, dire una password e una carta di accesso fisico. Un criminale informatico deve ottenere entrambi per impersonare te. Non impossibile, ma difficile.
Un'altra combinazione è una password e un'impronta vocale. Un sistema di riconoscimento dell'impronta vocale ti registra mentre pronunci una particolare passphrase e quindi abbina la tua voce quando devi autenticare la tua identità. Questo è attraente perché non puoi lasciare la tua voce a casa o in macchina.
Ma la tua voce potrebbe essere falsa? Con l'ausilio di software digitali, potrebbe essere possibile prendere una registrazione esistente della tua voce, scompattare e ri-sequenziare per produrre la frase richiesta. Questo è un po' impegnativo, ma non impossibile.
Una terza combinazione è una carta e un'impronta vocale. Questa scelta elimina la necessità di ricordare una password, che potrebbe essere rubato, e fintanto che conservi il token fisico (la carta o la chiave) al sicuro, è molto difficile per qualcun altro impersonarti.
Non ci sono ancora soluzioni perfette e l'utilizzo della versione di autenticazione più sicura dipende dal fatto che sia offerta dal servizio che stai utilizzando, come la tua banca.
La sicurezza informatica riguarda la gestione del rischio, quindi quale combinazione di autenticazione a più fattori si adatta alle tue esigenze dipende dall'equilibrio che accetti tra usabilità e sicurezza.
Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.