L’autenticazione a due fattori? Meno sicura del previsto

L’autenticazione a due fattori? Meno sicura del previsto

Amnesty International ha rilasciato un report in cui spiega come la 2FA venga continuamente violata in zone come il Medio Oriente e l’Africa

Se molti esperti di sicurezza informatica continuano a ricordare la necessità di adottare metodi di protezioni maggiori è perché gli hacker, a livello globale, hanno accresciuto di molto le loro competenze e i tool in possesso. Alcune tecnologie, come l’autenticazione a due fattori, possono innalzare realmente il livello di difesa anche se può capitare che vengano messi in circolo flussi atti a renderli meno funzionali di quanto realmente siano.

Stando a un rapporto di Amnesty International infatti, gli hacker in Medio Oriente e in Africa hanno imparato ad automatizzare un processo di violazione della sicurezza a due fattori (2FA) tanto da permettere una codifica dei dati in pochi secondi. In sostanza, sia la password che il codice di verifica vengono sottoposti a tecniche di phishing, per arrivare ad accedere agli account valicando sistemi apparentemente impenetrabili.

Cosa succede

Quando si usa normalmente la 2FA, la piattaforma su cui è abilitata, dopo l’immissione della solita password, invia un secondo codice di verifica, di solito verso un numero di telefono certificato. Ma c’è un però. Supponiamo che qualcuno abbia messo in piedi un sito web farlocco che, all’occorrenza, invia una email al destinatario chiedendo di immettere lì dentro la password in possesso per poi ricevere il fatidico sms. Chi ci casca, nonostante possa entrare comunque nell’account con il codice ottenuto via messaggio, consente anche ad altri la possibilità di accesso e dunque di probabile furto di dati.

Il problema è che se il procedimento viene eseguito su larga scala in modo completamente automatizzato, è solo una questione di tempo perché la forma più comune di 2FA diventi fragile al pari di una normale password alfanumerica. Qual è la migliore alternativa? Amnesty consiglia di usare chiavi di sicurezza hardware, come le chiavette USB da connettere fisicamente al computer o al telefono per autenticare l’utente. “All’inizio questo processo potrebbe sembrare troppo farraginoso – spiegano dall’organizzazione – ma aumenta in modo significativo la difficoltà per ogni attaccante di avere successo, e non è così gravoso come si potrebbe pensare”.

Leggi anche:  Kaspersky Lab rilascia l’ultima generazione di Kaspersky Anti-Ransomware Tool for Business