A cosa serve l'autenticazione a due fattori

Questo è un passaggio tratto da La Guida di Motherboard per Non Farsi Hackerare.

Avere password forti e univoche è un primo passo importante, ma anche queste possono essere rubate. Quindi per i vostri account più importanti (gli account della mail, di Twitter o di Facebook, i vostri conti bancari o finanziari) dovreste aggiungere un ulteriore livello di protezione conosciuto come autenticazione a due fattori (o “a più fattori” o “strong authentication”). Molti servizi, oggi, offrono l'autenticazione a due fattori, quindi non sarebbe certo sbagliato attivarla dove possibile. Controllate tutti i servizi su questo sito: twofactorauth.org.

Abilitando questo tipo di autenticazione non basterà solo la vostra password per avere accesso ai vostri account. Avrete bisogno anche di qualcos'altro, che di solito è un codice numerico inviato tramite SMS sul vostro telefono, o un codice generato da una app appositamente creata (che può tornare utile se il vostro telefono non ha copertura nel momento in cui cercate di accedere), o un piccolo apparecchio fisico come un token USB (talvolta chiamato U2F security key o YubiKey, prendendo il nome dai brand più conosciuti).

Negli ultimi anni si è spesso discusso della sicurezza degli SMS come “secondo fattore”. L'attivista Deray McKesson era stato derubato del suo numero di telefono e gli hacker erano così riusciti a trovare il modo di ricevere i messaggi con i codici di sicurezza che proteggevano i suoi account. E il National Institute of Standards and Technology (NIST), una sezione del governo degli Stati Uniti che scrive linee guida su regole e misure, inclusa la sicurezza, ha recentemente scoraggiato l'uso dell'autenticazione a due fattori tramite SMS.

L'attacco a Deray è stato reso possibile grazie all' ingegneria sociale. In questo caso, un addetto al servizio clienti è stato indotto con l'inganno a rendere Deray vulnerabile. La truffa è consistita nel farsi inviare dalla sua compagnia telefonica una nuova scheda SIM per mettere le mani sul suo numero di telefono. Ciò ha permesso che, una volta immessa la prima password, il secondo fattore venisse inviato direttamente a loro. Questa è una truffa comune che sta diventando sempre più frequente.

È difficile difendersi da un attacco del genere, ed è una triste verità che non esista una forma di sicurezza perfetta. Ma ci sono passi che si possono compiere per rendere questi attacchi più complessi da attuare e ne parleremo nel dettaglio poco più avanti, nella sezione della mobile security.

Segui Motherboard su Facebook e Twitter.

L'autenticazione a due fattori tramite SMS può essere raggirata ed è anche possibile utilizzare a proprio vantaggio vulnerabilità nell'infrastruttura delle telecomunicazioni che trasmettono le nostre conversazioni, o utilizzare un dispositivo conosciuto come IMSI-Catcher, o Stingray, per raccogliere le conversazioni e i vostri SMS di verifica. Non scriviamo tutto questo per spaventarvi, ma vale la pena far notare che anche se ogni tipo di autenticazione a due fattori è meglio che niente, sarebbe più consigliabile utilizzare una app di autenticazione o, ancora meglio, una chiavetta fisica.

Dovreste, se il sito lo permette, usare un'altra opzione a due fattori che non sia quella tramite SMS, come una app di autenticazione sul vostro smartphone (ad esempio Google Authenticator, DUO Mobile o Authy) o un apparecchio fisico. Se questa opzione fosse disponibile, sarebbe un'ottima idea utilizzarla.

Non utilizzate Flash: Flash è storicamente uno dei software più meno sicuri che sia mai stato presente nel vostro computer. Gli hacker adorano Flash perché ha più buchi del groviera. La buona notizia è che molti siti ne hanno abbandonato l'utilizzo, quindi non ne avrete più realmente bisogno per godervi una completa e intensa esperienza in rete. Prendete in considerazione l'idea di eliminarlo dal vostro computer, o almeno di cambiare le impostazioni sul vostro browser, in modo da dover cliccare ogni volta per avviarlo.