È tempo di smettere di usare le app SMS e 2FA per l'autenticazione a due fattori

Annuncio pubblicitario

In questi giorni, sembra che ogni sito web che tu abbia mai visitato tenti di incoraggiarti utilizzare l'autenticazione a due fattori (2FA).

Uno dei modi più comuni per usare 2FA è inserire un codice univoco dal tuo dispositivo mobile. In genere, si riceve il codice in un messaggio di testo o si utilizza un'app 2FA di terze parti per generarne uno.

I due metodi sono entrambi modi popolari di utilizzare i codici per la loro praticità. Tuttavia, entrambi i metodi sono deboli anche dal punto di vista della sicurezza. E poiché il tuo codice 2FA è sicuro quanto la tecnologia utilizzata per fornirlo, i punti deboli sono importanti.

Quindi, cosa c'è che non va utilizzando SMS e app di terze parti per accedere ai tuoi codici Cosa sono gli accessi senza password? Sono effettivamente sicuri?Accessi senza password. Sono sicuri? Come funzionano gli accessi senza password? Ecco cosa devi sapere. Leggi di più ? E c'è un'alternativa altrettanto conveniente che è più sicura? Spiegheremo tutto. Continua a leggere per scoprire di più.

Come funziona l'autenticazione a due fattori

Dedichiamo un momento a discutere del funzionamento dell'autenticazione a due fattori. Senza comprendere la meccanica alla base della tecnologia, il resto di questo articolo non avrà molto senso.

In termini generali, 2FA aggiunge un ulteriore livello di sicurezza al tuo account Come proteggere i tuoi account con 2FA: Gmail, Outlook e altroL'autenticazione a due fattori può aiutare a proteggere la tua e-mail e i social network? Ecco cosa devi sapere per essere sicuro online. Leggi di più . Conosciuta anche come autenticazione a più fattori, le credenziali di accesso consistono non solo in una password, ma anche in una seconda informazione a cui solo il legittimo proprietario dell'account ha accesso.

2FA è disponibile in molte forme diverse Pro e contro di tipi e metodi di autenticazione a due fattoriI metodi di autenticazione a due fattori non sono creati uguali. Alcuni sono dimostrabilmente più sicuri e più sicuri. Ecco uno sguardo ai metodi più comuni e quali soddisfano meglio le tue esigenze individuali. Leggi di più . Al suo livello più elementare, potrebbe essere qualcosa di semplice come le domande di sicurezza (perché nessun altro potrebbe conosci il nome da nubile di tua madre Perché stai rispondendo alle domande di sicurezza della password sbagliateCome rispondete alle domande di sicurezza dell'account online? Risposte oneste? Sfortunatamente, la tua onestà potrebbe creare una crepa nella tua armatura online. Diamo un'occhiata a come rispondere in modo sicuro alle domande di sicurezza. Leggi di più o il tuo animale preferito). All'estremità più complicata, potrebbe essere un ID biometrico come una scansione della retina o un'impronta digitale.

Perché dovresti evitare la verifica via SMS

SMS gode di una posizione come il modo più accessibile per accedere e utilizzare i codici 2FA. Se un sito offre accessi con autenticazione a due fattori, offre quasi sicuramente SMS come una delle opzioni.

Ma SMS non è un modo sicuro per usare 2FA. Ha due vulnerabilità chiave.

Innanzitutto, la tecnologia è suscettibile agli attacchi SIM Swap. Non ci vuole molto perché un hacker esegua uno scambio SIM. Se hanno accesso a un'altra informazione personale, come il tuo numero di previdenza sociale, possono chiamare il tuo operatore e spostare il tuo numero su una nuova carta SIM.

In secondo luogo, gli hacker possono intercettare i messaggi SMS. Tutto ritorna all'ormai datato Signaling System No. 7 (SS7) del sistema di routing telefonico. La metodologia è stata progettata nel 1975 ma è ancora utilizzata quasi a livello globale per connettere e disconnettere le chiamate. Gestisce anche traduzioni di numeri, fatturazione prepagata e, soprattutto, messaggi SMS.

Non sorprende che questa tecnologia del 1975 sia piena di falle nella sicurezza. Ecco come esperto di sicurezza Bruce Schneier descritto i difetti:

"Se gli aggressori hanno accesso a un portale SS7, possono inoltrare le conversazioni a un dispositivo di registrazione online e reindirizzare la chiamata a destinazione prevista [...] Significa che un criminale ben attrezzato potrebbe prendere i tuoi messaggi di verifica e usarli prima ancora che tu lo abbia visto loro."

Certo, scoprire che ha un criminale informatico hackerato il tuo Facebook Come scoprire se il tuo account Facebook è stato violatoCon Facebook che ospita così tanti dati, devi mantenere il tuo account al sicuro. Ecco come scoprire se il tuo Facebook è stato violato. Leggi di più l'account è tutt'altro che ideale. Ma la situazione è più spaventosa se si considerano altri gli usi di 2FA. Un cyber-criminale potrebbe rubare i codici che usi nel tuo banking online o anche avviare e completare i trasferimenti di denaro Le 6 migliori app per inviare denaro agli amiciLa prossima volta che devi inviare denaro agli amici, dai un'occhiata a queste fantastiche app mobili per inviare denaro a chiunque in pochi minuti. Leggi di più .

Inoltre, Schneier afferma anche che chiunque può acquistare l'accesso alla rete SS7 per circa $ 1.000. Una volta che hanno accesso, possono inviare una richiesta di routing. Per completare il problema, la rete potrebbe non autenticare l'origine della richiesta.

Ricorda, usare l'autenticazione a due fattori via SMS è meglio che lasciare 2FA disabilitato. Ed è probabilmente improbabile che diventerai una vittima. Tuttavia, se stai iniziando a sentirti un po 'preoccupato, devi continuare a leggere. Molte persone accettano che SMS non è sicuro e si rivolgono invece ad app di terze parti.

Ma potrebbe non essere molto meglio.

Perché dovresti evitare le app 2FA

L'altro modo comune per utilizzare i codici 2FA è installare un'app per smartphone dedicata. Ci sono molte tra cui scegliere. Google Authenticator è probabilmente il più riconoscibile, ma non è necessariamente il migliore. Ci sono molte alternative là fuori: dai un'occhiata a Authy, Authenticator Plus e Duo.

Ma quanto sono sicure le app 2FA specializzate? La loro più grande debolezza è la loro affidamento su una chiave segreta.

Facciamo un passo indietro per un secondo. Se non sei a conoscenza, quando ti registri per molte delle app per la prima volta, dovrai inserire una chiave segreta. Il segreto è condiviso tra te e il fornitore dell'app.

Quando accedi a un sito, il codice creato dall'app si basa su una combinazione della chiave e dell'ora corrente. Allo stesso tempo, il server sta generando un codice utilizzando le stesse informazioni. I due codici devono corrispondere per consentire l'accesso. Sembra ragionevole.

Quindi perché le chiavi sono il punto debole? Bene, cosa succede se un criminale informatico riesce ad accedere al database di password e segreti di un'azienda? Ogni account sarebbe vulnerabile: il l'attaccante potrebbe andare e venire Come verificare se qualcun altro sta accedendo al tuo account FacebookÈ sia sinistro che preoccupante se qualcuno ha accesso al tuo account Facebook a tua insaputa. Ecco come sapere se sei stato violato. Leggi di più a volontà.

In secondo luogo, il segreto viene visualizzato in testo semplice o come codice QR; non può essere frantumato o usato con un sale Cosa significa in realtà tutto questo hash MD5 [spiegazione della tecnologia]Ecco un riassunto completo di MD5, hashing e una piccola panoramica di computer e crittografia. Leggi di più . Probabilmente è anche in chiaro sui server dell'azienda.

La chiave segreta è il difetto fondamentale nella TOTP (Time-Based One-Time Password) utilizzata dalle app specializzate. Ecco perché una chiave U2F fisica è sempre un'opzione più sicura.

Difetti di progettazione e sicurezza per le app 2FA

Ovviamente, le possibilità che un cyber criminale hackerino i database necessari di un'app di terze parti sono piuttosto ridotte. Ma la tua app potrebbe anche presentare difetti di sicurezza di base nel suo design.

Popolare gestore password LastPass 8 semplici modi per potenziare la sicurezza di LastPassPotresti utilizzare LastPass per gestire le tue molte password online, ma lo stai usando nel modo giusto? Ecco otto passaggi che puoi eseguire per rendere il tuo account LastPass ancora più sicuro. Leggi di più cadde vittima nel dicembre 2017. UN post sul blog del programmatore su Medium è stato possibile accedere alle chiavi segrete 2FA senza impronte digitali, password o altre misure di sicurezza.

La soluzione non era nemmeno complicata. Accedendo all'attività delle impostazioni dell'app LastPass Authenticator (com.lastpass.authenticator.activities. SettingsActivity), è possibile accedere al riquadro delle impostazioni per l'app senza alcun controllo. Da lì, è possibile premere Indietro una volta per accedere a tutti i codici 2FA.

LastPass ora ha risolto il difetto, ma rimangono delle domande. Secondo il programmatore, aveva tentato di comunicare a LastPass il problema per sette mesi, ma la società non lo ha mai risolto. Quante altre app 2FA di terze parti non sono sicure? E quante vulnerabilità non risolte conoscono gli sviluppatori ma ritardano le patch? Ci sono anche preoccupazioni quando si tratta di perdere l'accesso al tuo generatore di codice su Facebook Come accedere a Facebook se si perde l'accesso al generatore di codiceHai perso l'accesso al generatore di codice di Facebook? Questo articolo tratta metodi alternativi per accedere al tuo account Facebook. Leggi di più per esempio.

Cosa fare invece: utilizzare i tasti U2F

Invece di affidarti a SMS e 2FA per i tuoi codici, dovresti usare Tasti universali di 2 ° fattore Cosa sono le chiavi U2F e dove sono supportate?Le chiavi U2F sono uno dei modi migliori per proteggere i tuoi account. Ma dove sono supportate le chiavi U2F? Leggi di più (U2F). Sono il modo più sicuro per generare codici e accedere ai tuoi servizi.

Ampiamente considerata una versione di 2FA di seconda generazione, semplifica e rafforza il protocollo attuale. Inoltre, l'utilizzo dei tasti U2F è quasi altrettanto conveniente dell'apertura di un messaggio SMS o di un'app di terze parti.

Le chiavi U2F utilizzano una connessione NFC o USB. Quando colleghi il tuo dispositivo a un account per la prima volta, genererà un numero casuale chiamato "Nonce". Il Nonce è hash con il nome di dominio del sito per creare un codice univoco.

Successivamente, puoi distribuire la tua chiave U2F collegandola al tuo dispositivo e aspettando che il servizio lo riconosca.

Allora, qual è il rovescio della medaglia? Bene, anche se U2F è uno standard aperto, costa comunque denaro acquistare una chiave U2F fisica. E forse più preoccupante, sei a rischio di furto.

Una chiave U2F rubata non rende automaticamente il tuo account insicuro; un hacker dovrebbe comunque conoscere la tua password. Ma in un'area pubblica, un ladro potrebbe averti già visto entrare da lontano la tua password, prima di rubare i tuoi beni.

Le chiavi U2F possono essere costose

I prezzi variano considerevolmente tra i produttori, ma puoi aspettarti di pagare tra circa $ 15 e $ 50.

Idealmente, si desidera acquistare un modello "certificato FIDO". L'Alleanza FIDO (Fast IDentity Online) è responsabile del raggiungimento dell'interoperabilità tra le tecnologie di autenticazione. I membri includono tutti, da Google e Microsoft, a Bank of America e MasterCard.

Acquistando un dispositivo FIDO, puoi essere sicuro che la chiave U2F funzionerà con tutti i servizi che usi ogni giorno. Controlla la chiave DIGIPASS SecureClick U2F se desideri acquistarne una.

Il 2FA non sicuro è ancora meglio del 2FA

Riassumendo, le chiavi Universal 2nd Factor offrono un mezzo felice tra facilità d'uso e sicurezza. SMS è l'approccio meno sicuro, ma anche il più conveniente.

E ricorda, ogni 2FA è meglio di nessun 2FA. Sì, potrebbero essere necessari altri 10 secondi per accedere a determinate app, ma è meglio che sacrificare la tua sicurezza.