Per Sébastien Viou, Direttore Cybersecurity e Product Management presso Stormshield, sebbene oggi le aziende stiano adottando in modo diffuso l’autenticazione a due fattori come buona prassi di cybersecurity, questo metodo presenta diverse debolezze. Secondo il Data Breach Report 2022 di Verizon, infatti, l’82% delle violazioni si basa su tecniche di ingegneria sociale o sullo sfruttamento della vulnerabilità umana.
Prima dell’avvento dell’autenticazione a due fattori (2FA), le password degli utenti erano l’unico ostacolo da superare per accedere agli account e ai dati più sensibili. Una vulnerabilità ulteriormente esacerbata dal fatto che ancora oggi, purtroppo, queste password continuano a essere generalmente troppo semplici e vengono riutilizzate su diverse piattaforme ad uso sia personale sia professionale.
I limiti dell’autenticazione a due fattori
Negli ultimi anni, i criminali informatici hanno sviluppato tecniche sofisticate per aggirare l’autenticazione a due fattori. Uno dei metodi più comuni consiste nel creare siti web contraffatti utilizzando kit di phishing preconfezionati. Questi siti integrano pagine di accesso fasulle per raccogliere le credenziali dell’utente, come il codice o il cookie della sessione. Si tratta di un metodo formidabile, poiché la vittima viene reindirizzata al sito legittimo in modo trasparente, senza accorgersi dell’inganno.
Altre tecniche più complesse, come l’ingegneria sociale sofisticata, vengono utilizzate anche per convincere una vittima a rivelare il proprio codice di autenticazione monouso tramite tecniche di deep fake vocale o reindirizzando chiamate telefoniche a numeri fraudolenti.
I criminali informatici possono anche aggirare l’autenticazione a due fattori tramite attacchi di forza bruta iterando automaticamente tutte le possibili varianti dei codici di sicurezza. In pratica, questi attacchi sono relativamente rari perché richiedono tempo e vengono resi inefficaci dalle regole di firewalling che bloccano i tentativi di connessione a ripetizione.
Ancora più rari, ma altrettanto temibili, sono gli attacchi “Man-In-The-Middle” che implementano tecniche sofisticate per intercettare il codice 2FA posizionandosi all’interno del flusso di comunicazione tra l’utente e l’applicazione. Ad esempio, attacchi di tipo “SIM swapping” recuperano l’SMS di conferma dei parametri 2FA della vittima facendo illecitamente leva sull’opzione di portabilità del numero di telefono dello smartphone presso l’operatore telefonico. Queste sono tutte alternative al furto fisico di un computer o di un cellulare.
Già nel 2018, Amnesty International lanciava allarmi sulle vulnerabilità dell’autenticazione a due fattori. Amnesty Tech, nello specifico, aveva indagato su un’ampia e sofisticata campagna di phishing ai danni di giornalisti e difensori dei diritti umani in Medio Oriente e Nord Africa. In questo caso, i criminali informatici avevano ricreato pagine di autenticazione di Google e Yahoo. Una volta inserito il proprio indirizzo email, l’interfaccia malevola chiedeva agli utenti il codice di autenticazione a 6 cifre appena inviato loro tramite SMS. Conoscendo quindi le credenziali e i due fattori di autenticazione gli aggressori avevano pieno accesso alle caselle di posta elettronica delle loro vittime.
L’autenticazione a due fattori è ancora affidabile?
L’autenticazione a due fattori è in realtà infinitamente più affidabile di una semplice password. Ma per far fronte a potenziali tentativi di elusione, è urgente rafforzarla con misure aggiuntive.
Un modo per aumentare la sicurezza degli accessi è incrementare il numero dei fattori di verifica attraverso l’uso dell’autenticazione a più fattori (MFA). L’autenticazione a più fattori richiede l’uso di diversi elementi di verifica per concedere l’accesso all’entità che si connette (una persona o una macchina).
Classificati in quattro categorie nelle raccomandazioni ufficiali dell’ANSSI, questi fattori possono essere di vario tipo, inclusi:
- Fattori noti, come una password o una domanda di sicurezza;
- Fattori prodotti da dispositivi, ad esempio un token di sicurezza fisico (una smart card, una chiave SecurID) o digitale (un telefono, un’applicazione mobile) che genera un codice unico e temporaneo (OTP);
- Fattori innati, ovvero elementi biometrici, ad esempio DNA, impronte digitali, impronta retinica, riconoscimento facciale, riconoscimento vocale;
- Fattori prodotti o generati, come la località, azioni o gesti e analisi comportamentale.
Esistono già diverse soluzioni che offrono una sicurezza ancora maggiore. Queste includono l’autenticazione “out-of-band” (OOBA), che richiede la verifica dell’utente attraverso due diversi canali di comunicazione. In questo caso, un fattore potrebbe essere comunicato (ad esempio) attraverso una rete LAN, mentre un altro transiterebbe attraverso la rete 4/5G, ovvero una separazione dei canali per una sicurezza potenziata. Un altro approccio è l’utilizzo della tecnologia di “deep voice detection”, che rileva le voci generate dall’intelligenza artificiale. Tuttavia, tali tecniche hanno un peso ancora marginale a fronte degli elevati costi di implementazione.
L’autenticazione a due fattori non è ancora un metodo obsoleto
È dunque importante essere consapevoli che la 2FA e, in misura minore, la MFA possono essere vulnerabili a cyberattacchi molto sofisticati. Comunque, aggiungere un secondo fattore di autenticazione – anche se debole – non rende l’utente più vulnerabile rispetto all’uso di un solo fattore, al contrario. Ecco perché questi metodi di autenticazione non sono ancora obsoleti. Essi sono in grado di bloccare la maggior parte degli attacchi informatici comunemente riscontrati.
Secondo Stormshield la corretta implementazione dell’autenticazione a due fattori rimane un fattore chiave per garantire un livello sufficiente di sicurezza degli accessi all’interno di un’azienda. Tuttavia, l’adozione di un terzo o addirittura un quarto fattore di autenticazione destinato a utenti specifici (amministratore di sistema e altri VIP dell’azienda) e l’uso di canali di comunicazione multipli possono ridurre ulteriormente le vulnerabilità del processo di autenticazione. Come spesso accade, anche in questo caso si tratta di una corretta gestione del rischio e dell’investimento necessario per ridurne l’incidenza.