Sempre più servizi mettono a disposizione degli utenti meccanismi di autenticazione a due fattori. Si tratta di una speciale modalità di login che affianca all’inserimento dei tradizionali username e password l’utilizzo di altri strumenti.
L’autenticazione a due fattori (che alcuni fornitori chiamano verifica in due passaggi) si concretizza con una seconda verifica basata su una propria caratteristica fisica (utilizzo di sensori biometrici) o su qualcosa che si possiede (di solito l’utente è invitato ad inserire un codice autorizzato ricevuto su smartphone o cellulare) ma è possibile anche usare lettori di smart card o altri device similari.
Uno studio indipendente di recente pubblicazione (vedere Verifica in due passaggi: qual è la modalità più sicura) ha certificato qual è il “secondo passaggio” più sicuro in assoluto utilizzabile per l’autenticazione a due fattori.
Il secondo fattore ritenuto meno sicuro è la ricezione di un codice di conferma via SMS perché quanto ricevuto può essere intercettato da parte di terzi e criminali informatici possono usare più facilmente gli SMS per porre in essere truffe (phishing) rispetto ad altri sistemi. Allo stesso modo, neppure l’utilizzo di un indirizzo email secondario sul quale ricevere link e codici di conferma per l’accesso a un qualsiasi servizio può essere ritenuto una misura di sicurezza adeguata.
Il livello di sicurezza maggiore per l’autenticazione a due fattori è assicurato dall’utilizzo di una chiavetta di sicurezza (ne abbiamo parlato nell’articolo Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2) oppure dall’impiego di un dispositivo mobile, diverso da quello adoperato per effettuare il login, sul quale ricevere una richiesta autorizzativa o un codice di conferma numerico o alfanumerico.
È recentissima la notizia delle 22 municipalità texane che sono state protagoniste di un attacco ransomware (vedere questa pagina). Gli enti pubblici statunitensi si sono ritrovati con un ampio volume di dati cifrato da un ransomware, riconducibile al medesimo gruppo di criminali informatici, e con una richiesta di riscatto da 2,5 milioni di dollari.
Il ransomware ha avuto gioco facile sfruttando le credenziali di accesso di utenti e amministratori quindi provvedendo a cifrare vasti quantitativi di informazioni.
L’incidente, l’ultimo di una lunga serie che non risparmia praticamente nessun Paese, ben evidenzia quanto sia importante abbracciare meccanismi di autenticazione a due fattori. Se gli utenti finali sono invitati a farlo nel caso dei loro account Google, Microsoft, Amazon, Dropbox e così via (vedere anche Verifica in due passaggi Google: solo 10% degli utenti la usano), anche professionisti e imprese dovrebbero adeguarsi.
L’esempio Duo: come proteggere con l’autenticazione a due fattori qualunque servizio, anche destinato a professionisti e imprese
A ottobre 2018 Cisco ha acquisito Duo Security, azienda specializzata nella progettazione e nello sviluppo di soluzioni per l’autenticazione multi-factor.
Collegandosi con questa pagina utenti, professionisti e imprese possono creare un account attraverso il quale abilitare l’autenticazione a due fattori su decine di servizi.
L’app Duo, installabile su dispositivi Android e iOS consente di usare lo smartphone come secondo fattore (oltre a nome utente e password) per l’accesso a ciascun servizio.
Il piano free di Duo permette già la gestione di 10 utenti: non è quindi utilizzabile solo per attività di test ma anche per un impiego in pianta stabile.
Dopo aver registrato un account da desktop o notebook, si dovrà semplicemente installare Duo Mobile su uno smartphone, avviare l’app quindi inquadrare il codice QR mostrato sullo schermo del PC.
Successivamente basterà digitare, lato applicazione web Duo, il codice di autorizzazione mostrato nell’app Duo Mobile.
Il grande valore di Duo risiede nel fatto che questo sistema di autenticazione permette di abilitare l’accesso attraverso un secondo fattore su moltissimi servizi business e su alcuni strumenti che supportano solamente login di tipo tradizionale.
Cliccando su Applications, Protect an application nella colonna di sinistra di Duo, si possono scegliere i servizi da proteggere. Basti pensare, anche sulla scorta delle molteplici vulnerabilità scoperte di recente in Desktop remoto, Duo aiuta per esempio a proteggere anche server e client Microsoft RDP (in questo documento è spiegato come attivare l’autenticazione a due fattori in Desktop remoto attivando le impostazioni di sicurezza più efficaci grazie al pacchetto Duo Authentication for Windows Logon).
Grazie a Duo si potrà fidare di un’unica piattaforma per effettuare l’accesso sicuro a qualunque servizio di terze parti. Dopo aver configurato le varie app nella dashboard web di Duo, basterà servirsi dell’applicazione per dispositivi mobili così da ricevere il codice autorizzativo e digitarlo nella schermata di login, dopo l’inserimento di nome utente e password.
L’app provvede anche a effettuare, in automatico o su richiesta dell’utente, un controllo della configurazione del dispositivo in uso. Duo Mobile suggerisce di controllare che il contenuto del dispositivo sia crittografato, che sia attivato il blocco dello schermo, che risulti abilitato l’uso dell’impronta digitale, che Android sia aggiornato e che lo smartphone non sia stato sottoposto a rooting.
Nell’articolo Autenticazione a due fattori: quali siti e servizi online la offrono abbiamo elencato i servizi online che di per sé già prevedono l’autenticazione a due fattori.