È uno dei metodi ritenuti migliori per evitare che qualcuno possa penetrare all’interno dei nostri account, rubando informazioni importanti che potrebbero mettere a repentaglio diversi aspetti della quotidianità. Ecco perché l’autenticazione a due fattori sta diventando uno standard in fatto di sicurezza informatica. Un dubbio però rimane da dipanare: è sempre sicura?
Autenticazione a due fattori: sempre sicura?
La risposta, purtroppo, è no ma è meglio usarla. A confronto con altre metodologie precedentemente (e ancora oggi) in uso, l’autenticazione a due fattori rappresenta una procedura sicuramente più complessa da “rompere”. Introdotta per il controllo degli accessi agli account di sistemi informatici già negli anni ‘50, la canonica password custodisce in sé dei limiti che è difficile superare, per svariati motivi. Primo, è quello relativo al riutilizzo della stessa chiave in molteplici occasioni. Memorizzare lunghe e complesse stringhe di caratteri richiede non solo una grande capacità mnemonica, ma l’avere a portata di mano un’agenda su cui fare riferimento in condizioni estreme.
Perciò spesso si punta a riciclare le password, con il rischio di lasciare a disposizione dei cybercriminali la porta aperta su servizi a cui accedere con facilità.
Comunemente, si tende a scegliere combinazioni semplici, recuperabili da chi ha una minima conoscenza della nostra vita (o un buon programma per individuare serie alfanumeriche). Questi due fattori, se combinati, diventano più potenti di qualsiasi data breach diffuso sul dark web. Anzi, sono proprio queste chiavi, a volte impostate inconsapevolmente da più utenti (quanti, sinceramente, utilizzano “password” o “12345” come codici di sblocco?) a rimpinguare i database da cui i malfattori attingono per gli attacchi brute force sui login. Tanti tentativi, a colpi di parole banali, per loggarsi in aree riservate che possono condurre a dati sulla salute, riferimenti bancari e potenzialmente molto altro che, di norma, dovrebbe rimanere segreto.
Autenticazione a due fattori, perché è importante?
Nonostante siano presenti, sul lavoro o nel privato, policy stringenti relativamente all'impostazione delle credenziali di accesso, ciò non basta ad arginare i rischi dovuti a scelte poco efficaci in materia di password. Con l’introduzione dell’autenticazione a due fattori è necessario utilizzare uno strumento fisico, “esterno” al tradizionale ciclo di inserimento di nome utente e codice, ma registrato e riconoscibile dal sistema.
È una condizione, questa, che aggiunge un impedimento ulteriore da scavalcare. Che si tratti di una memoria usb, uno smartphone o un generatore di codici, il dispositivo richiede una combinazione per procedere alla generazione di una seconda, comunicandola poi sfruttando il Bluetooth, una connessione Usb o semplicemente l'aggiunta tramite tastiera. Di conseguenza, un attacco brute force deve necessariamente bloccarsi, seppur conoscendo i due elementi principali, visto che con difficoltà sarebbe in grado di recuperare il terzo elemento della trinità della cybersecurity.
Autenticazione a due fattori, quali vulnerabilità?
Di contro, ci sono alcune strade che gli hacker possono percorrere per saltare il blocco, anche se richiedono determinati presupposti non facilmente riscontrabili. Una è sfruttare le vulnerabilità delle procedure; sono situazioni limite ma che non mancano nella storia dell’informatica. Una su tutti è quella rappresentata dal protocollo Signalling System n°7 (SS7). Malgrado la necessità di un impegno mastodontico, oltre a qualità tecniche e risorse in grandi quantità, il sistema consente di stabilire e bloccare le comunicazioni basate sul telefono, compresi i messaggi di testo.
Intercettando i codici e dirottandoli sui propri device, i criminali tecnologici accedono al codice (il “secondo fattore” dopo la password iniziale) e fanno tesoro dell’informazione per entrare nell’account, rubandone i dati custoditi o effettuando operazioni illegali. Affidarsi agli SMS, quindi, potrebbe non essere il metodo migliore, sebbene siano occorrenze saltuarie poiché che mettere in campo pari tecnologie c’è bisogno di gruppi altamente specializzati (e ricompense gustose all’orizzonte).
A questi, inoltre, si aggiungono metodi più immediati: è sufficiente fingersi i proprietari del profilo con il provider telefonico o trarre vantaggio dai servizi che permettono il reindirizzamento dei messaggi per carpire, in pochi istanti, tali dettagli.
Sono attacchi estremamente mirati, sfruttati in casi particolari e che nel quotidiano difficilmente avvengono. Meglio tenersi in allerta. Più diffusi sono i pericoli rappresentati dal phishing o dal typosquatting, ovvero reindirizzamenti verso url che simulano un altro indirizzo famoso e sicuro (g00gle.com invece di google.com, per esempio). Inserire le informazioni in una pagina simile, vuol dire addio alle proprie credenziali; correre ai ripari è fondamentale, indipendentemente dai fattori di sicurezza integrati nel login.
Autenticazione a due fattori, mai dimenticarla
Per quanto le ragioni contrarie l’uso di questo particolare mix di elementi possano far desistere dalla scelta, l’autenticazione a due fattori andrebbe adottata senza indugio laddove è possibile farlo. Ogni tentativo, se intercettato da tale processo, risulta più complesso e offre un margine più ampio di difesa paragonato alla password semplice. E poi è un forte deterrente per i cybercriminali meno esperti, soprattutto se non si ricoprono cariche di alto rilievo o si conservano segreti particolarmente allettanti, rispetto a quelli che solitamente miriamo a proteggere a colpi di privacy. Imbattibile? No. Affidabile, certo.