YubiKey è un esempio di chiave fisica che puoi collegare al tuo dispositivo per verificare la tua identità. Credito:Formatoriginal/Shutterstock
Le violazioni dei dati stanno diventando comuni nelle piccole e grandi aziende tecnologiche. La vittima più recente è stata la società di telecomunicazioni australiana Optus, che ha provocato l'accesso non autorizzato ai dati di identità di circa 10 milioni di persone.
Aggiungendosi alla miseria delle vittime, questo attacco informatico ha ulteriormente scatenato una pletora di successivi tentativi di phishing e frode utilizzando i dati ottenuti da questa violazione.
Avere misure di sicurezza più rigorose durante l'accesso può aiutare a proteggere i tuoi account e riduce significativamente la probabilità di molti attacchi informatici automatizzati.
L'autenticazione a più fattori (MFA) è una misura di sicurezza che richiede all'utente di fornire due (noto anche come verifica in due passaggi o autenticazione in due passaggi) o più prove di identità per accedere ai servizi digitali. Questo in genere richiede una combinazione di qualcosa che l'utente conosce (pin, domanda segreta), qualcosa che hai (carta, token) o qualcosa che sei (impronta digitale o altro biometrico).
Ad esempio, l'Australian Tax Office ha recentemente inasprito alcune regole per i fornitori di servizi digitali sull'uso obbligatorio dell'autenticazione a più fattori. Se utilizzi determinati servizi, conosci già l'AMF.
Ma non tutte le soluzioni MFA sono uguali, con studi recenti che dimostrano modi semplici per sovvertire metodi più comuni utilizzati per sferrare attacchi informatici.
Inoltre, le persone preferiscono anche diverse opzioni MFA a seconda delle loro esigenze e del livello di competenza tecnologica.
Quindi quali sono le opzioni attualmente disponibili, i loro pro e contro e per chi sono adatte?
Esistono quattro metodi principali di autenticazione a più fattori
SMS :attualmente l'opzione più comune che prevede una password monouso (come un codice) inviata tramite messaggio di testo. Sebbene sia abbastanza popolare e facile da usare, la password o il codice che ti viene inviato può essere comunemente violato da app dannose sul telefono o reindirizzando l'SMS a un altro telefono. Il metodo fallisce anche se il tuo smartphone non ha il servizio o è spento.
Basato su autenticatore :Un altro metodo comune, in cui un'applicazione installata sullo smartphone (come Google Authenticator) genera password monouso valide per un arco di tempo molto breve, ad esempio 30 secondi. Sebbene più sicure dei messaggi di testo, le app dannose possono comunque rubare queste password monouso. Il metodo fallisce anche se lo smartphone è senza alimentazione.
App per dispositivi mobili :simile alle app di autenticazione, ma a un utente viene inviata una richiesta di verifica anziché una password monouso. Ciò richiede che lo smartphone disponga di una connessione Internet attiva e sia acceso.
Chiave di sicurezza fisica :Il meccanismo più sicuro; utilizza una chiave di sicurezza hardware (come YubiKey, VeriMark o Feitian FIDO) che deve essere collegata al dispositivo per verificare l'identità:molti di questi assomigliano molto a memory stick USB. È l'attuale metodo leader supportato da aziende come Google, Amazon e Microsoft, nonché da agenzie governative in tutto il mondo.
Ciascuno di questi quattro metodi varia in termini di usabilità e sicurezza. Ad esempio, nonostante le chiavi di sicurezza fisiche offrano il massimo livello di sicurezza, il tasso di adozione è il più basso, con cifre che suggeriscono solo un 10% di utilizzo.
Le preferenze sono importanti
Non solo i diversi tipi di autenticazione a più fattori variano in termini di sicurezza, ma hanno anche diversi livelli di popolarità. Ciò si traduce in una discrepanza tra i più affidabili Metodo MFA (la chiave di sicurezza fisica) e qual è in realtà il più ampiamente utilizzato (SMS).
Il nostro team del Center for Cyber Security Research and Innovation della Deakin University ha recentemente condotto uno studio sull'adozione delle tecnologie MFA. Abbiamo intervistato più di 400 partecipanti appartenenti a diverse fasce d'età, background formativi ed esperienza con l'AMF.
I risultati del nostro studio indicano che le preferenze delle persone sono influenzate non solo dalle loro esigenze di sicurezza, ma anche dall'usabilità. La maggior parte degli utenti si preoccupava maggiormente della semplicità del metodo MFA:questo spiega chiaramente perché le soluzioni basate su SMS continuano a dominare il panorama, anche se esistono alternative più sicure.
Nel nostro studio di follow-up, agli utenti sono state fornite le chiavi di sicurezza fisiche più popolari per un mese, per essere testate senza supervisione. I risultati preliminari suggeriscono che la maggior parte degli utenti ha trovato le chiavi fisiche efficaci e intuitive da usare.
Tuttavia, la mancanza di supporto per la piattaforma e di istruzioni per la configurazione ha creato una percezione che queste chiavi erano difficili e complesse da installare e utilizzare, con conseguente mancanza di volontà di adozione.
Una taglia non va bene per tutti
Riteniamo che sia necessaria un'attenta considerazione prima che qualsiasi agenzia governativa o azienda incarichi l'AMF, con alcuni passaggi chiave da considerare.
Persone e organizzazioni diverse avranno esigenze diverse, quindi in alcuni casi una combinazione di metodi potrebbe funzionare meglio. Ad esempio, una soluzione basata su SMS può essere utilizzata insieme a una chiave di sicurezza fisica per l'accesso a sistemi di infrastrutture critiche che richiedono livelli di sicurezza più elevati.
Inoltre, la formazione e la consapevolezza degli utenti sono vitali. Molte persone non sono consapevoli dell'importanza dell'AMF e non sanno quali sono i metodi più sicuri.
Assumendoci alcune responsabilità personali e utilizzando metodi altamente efficaci come chiavi di sicurezza fisiche per proteggere i nostri account più vulnerabili, tutti possiamo fare la nostra parte per rendere il Web un luogo più sicuro. + Esplora ulteriormente
Questo articolo è stato ripubblicato da The Conversation con licenza Creative Commons. Leggi l'articolo originale.