Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

2FA basato su SMS: quando l’autenticazione a due fattori può essere un rischio

pittogramma Zerouno

TechTarget Technology HowTo

2FA basato su SMS: quando l’autenticazione a due fattori può essere un rischio

11 Gen 2019

di Laura Zanotti - Fonte TechTarget

Le imprese dovrebbero riconsiderare il loro approccio alla sicurezza con 2FA erogati tramite SMS. A parlarne più in dettaglio gli esperti, dopo la violazione subita nei mesi scorsi da Reddit con sottrazione di indirizzi e-mail e violazione del database

2FA? C’è chi dice sì e c’è chi dice no. In questi giorni si torna a parlare di autenticazione a due fattori per una violazione accaduta qualche tempo fa ai sistemi informativi di Reddit, sito Internet di social news e intrattenimento. Intercettando i messaggi SMS utilizzati per autenticare i dipendenti che accedevano ai dati riservati, alcuni hacker hanno trafugato indirizzi email e il backup di un database risalente al 2007, a sua volta contenente una serie di password. Ecco perché gli esperti rimettono sul tavolo l’approccio 2FA tramite SMS.

2FA: come funziona

2FA è la pratica di utilizzare due fattori di autenticazione per dimostrare l’identità di un utente. I fattori di autenticazione possono essere diversi come, per esempio, qualcosa che si possiede, qualcosa che si conosce o qualche aspetto del proprio essere. Esistono altri fattori di autenticazione, ma quelli usati più comunemente sono quelli citati.

I due fattori di autenticazione più comunemente utilizzati sono un fattore di conoscenza, nel caso specifico una password, e un fattore di possesso, come possono essere un token di sicurezza, uno smartphone o un fattore biometrico, come un’impronta digitale o una scansione facciale. Come è noto, le password, che sono state il principale fattore di autenticazione per la maggior parte della storia dell’informatica, portano con sé alcuni rischi.

Come è stato sferrato l’attacco a Reddit

Reddit non è stata la prima organizzazione a essere violata a causa di una debolezza nel proprio sistema di autenticazione. E non sarà l’ultima, avvertono gli osservatori. Questi sistemi, infatti rappresentano una parte critica e complessa delle difese aziendali e, proprio per questo, devono essere protetti con cura.

Cosa è successo a Reddit? Secondo quanto riportato dal portavoce, un utente malintenzionato ha compromesso alcuni account dei dipendenti utilizzando 2FA basati su SMS per ottenere l’accesso al loro provider di hosting lato cloud e lato codice sorgente. Non è chiaro in che modo l’hacker abbia acquisito la password utilizzata per compromettere gli account o se fossero presenti altri controlli di monitoraggio della sicurezza poiché Reddit non ha specificato in che modo il sistema 2FA utilizzato abbia ignorato l’attacco. Certo è che l’SMS non è la piattaforma più adatta per rilasciare password monouso (OTP), dal momento che il protocollo di messaggistica si sa da tempo essere pieno di vulnerabilità e punti deboli. I messaggi SMS possono essere falsificati o soggetti ad attacchi man-in-the-middle (una tipologia di attacco in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro); nel caso dell’uso di 2Fa per SMS un utente malintenzionato può intercettare le OTP.

Nel caso di Reddit l’hacker non è stato in grado di ottenere l’accesso in scrittura ai sistemi. In ogni caso, per rafforzare la sicurezza relativa alla gestione degli accessi, la società ha comunque deciso di cambiare i suoi criteri di protezione e le sue chiavi API. Tra le best practice della sicurezza, infatti, è buona regola cambiare periodicamente le chiavi API e programmare in maniera strategica il ciclo di vita dei sistemi di sicurezza.

I pro e i contro dell’autenticazione a due fattori

Sono in molti a considerare l’autenticazione a due fattori una panacea per proteggere gli utenti. Va detto però che, se è vero che la 2FA migliora drasticamente le protezioni dell’utente, è vero anche che dei rischi comunque permangono. Gli hacker, infatti, hanno imparato a contrastare i controlli di sicurezza per compromettere la protezione di questo tipo di sistema. I sistemi di autenticazione 2FA offrono diverse opzioni che possono essere configurate in base alle esigenze dell’applicazione. Gli aggressori possono intercettare le password monouso fornite dai sistemi 2FA basati su SMS. Possono anche utilizzare tecniche di social engineering per intercettare le loro vittime nel momento in cui vengono consegnati i loro messaggi di autenticazione SMS. Gli attaccanti hanno anche altre opzioni per aggirare il secondo fattore, compreso lo sviluppo di un attacco in overlay che attiva il pulsante Approva su uno smartphone o l’autenticazione SMS preventiva, mediante la registrazione di un nuovo token hardware.

In conclusione, le aziende che utilizzano 2FA basate su SMS per proteggere tutti quegli account che hanno privilegi elevati dovrebbero programmare un piano di migrazione. Tuttavia, date le risorse che occorrono per spostare gli account, le imprese che desiderano modificare il loro approccio alla 2FA basato su SMS dovrebbero tenere presente che l’attività di migrazione ha una priorità elevata solo per la transizione di account con valore elevato e privilegi di un certo tipo.

Laura Zanotti - Fonte TechTarget
Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

2FA basato su SMS: quando l’autenticazione a due fattori può essere un rischio

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4