Quale opzione di autenticazione a due fattori è la migliore?
A prima vista, l'autenticazione a due fattori (2FA) è una funzionalità di sicurezza spietatamente semplice e incredibilmente efficace. In sostanza, implementando l'autenticazione a due fattori, si garantisce che un utente malintenzionato non possa assumere l'account di una vittima utilizzando solo un nome utente e una password. C'è un passaggio aggiuntivo durante il processo di autenticazione senza il quale l'accesso non verrà concesso. Fin qui, così semplice. Questo è dove inizia a diventare più complicato, però.
La maggior parte dei sistemi 2FA si basano su una seconda password temporanea (spesso denominata password singola o OTP), che l'utente deve inserire per sbloccare il proprio account. In altri casi, l'accesso richiede un dispositivo hardware o un token che funga da prova che l'utente è autorizzato ad accedere all'account. C'è molto dibattito su quale sia l'opzione migliore: un token hardware o un OTP. È stata discussa anche la domanda su quale sia il miglior token hardware e lo stesso vale per i diversi modi in cui i sistemi 2FA basati su OTP possono essere implementati. In altre parole, per molti, 2FA ha sollevato più domande di quante abbia risposto.
Table of Contents
La discussione OTP
Un OTP è un secondo fattore piuttosto robusto, ma deve essere implementato correttamente. Se gli OTP devono funzionare, devono essere unici e casuali. Se gli hacker sono in grado di capire l'algoritmo alla base del meccanismo che crea gli OTP, possono battere l'intero sistema 2FA. Potrebbero anche essere in grado di aggirare il problema se hanno abbastanza tempo per indovinare l'OTP. Per motivi di usabilità, spesso, gli OTP sono codici a 4 o 6 cifre che possono essere indovinati con relativa facilità. Ecco perché è importante assicurarsi che scadano dopo un ragionevole periodo di tempo. Ovviamente, limiti di velocità adeguati possono anche impedire agli aggressori di forzare la penetrazione.
È corretto affermare che la maggior parte degli sviluppatori e degli amministratori di sistema che hanno scelto 2FA basati su OTP osservano queste regole e attacchi di questo tipo non sono così comuni. Quando si tratta del metodo di consegna per gli OTP, tuttavia, le cose sono completamente diverse.
Esistono diversi modi in cui è possibile consegnare un OTP all'utente. Puoi farlo tramite e-mail, SMS o un'app di autenticazione sul proprio smartphone. Molte persone hanno perso la calma su quanto siano insicuri alcuni di questi mezzi. Abbiamo discusso in passato, ad esempio, della tecnologia alla base dei messaggi di testo che è piuttosto vecchia e che in teoria può consentire agli hacker di intercettare OTP e bypassare 2FA. Per un po 'di tempo, anche le e-mail sono state condannate in modo troppo insicuro per trasportare informazioni sensibili come OFA 2FA.
Il fatto è che il modo migliore per garantire che gli OTP non possano essere intercettati durante la trasmissione non è affatto trasmetterli. Questo è il motivo per cui le applicazioni mobili 2FA come Google Authenticator sono considerate l'opzione migliore per i sistemi di autenticazione a due fattori basati su OTP che non richiedono un token hardware aggiuntivo. Il problema con queste app, tuttavia, è che gli utenti che non dispongono di uno smartphone non possono utilizzarle.
I token hardware sono la soluzione?
L'idea delle app 2FA deriva da token hardware che utilizzano anche complesse funzioni crittografiche per creare OTP sul posto. Conosciuti come RSA SecurID, hanno all'incirca le dimensioni di un portachiavi e hanno un piccolo display LCD monocromatico che mostra l'attuale OTP. Potresti vederlo come una soluzione, specialmente se alcuni dei tuoi potenziali utenti non hanno smartphone, ma c'è ancora una cosa da considerare. La vulnerabilità intrinseca delle One-Time Passwords è che, proprio come le normali password, possono essere phishing.
Ecco perché, secondo gli esperti di sicurezza, i sistemi 2FA più sicuri si affidano alle chiavi U2F: token hardware che invece di generare e visualizzare OTP, comunicano direttamente con il tuo computer o dispositivo mobile e ti autenticano automaticamente. Sono abbastanza piccoli da essere portati in giro su un portachiavi, non hanno una batteria e la tecnologia wireless su cui alcuni si basano significa che l'autenticazione è spesso istantanea. Poiché l'utente non è tenuto a inserire un OTP, questo è considerato il metodo migliore in termini di usabilità e sicurezza. Tuttavia, non è ancora perfetto.
A differenza delle app 2FA, delle e-mail e, nella maggior parte dei casi, dei messaggi di testo, le chiavi U2F non sono gratuite. L'investimento non è enorme, ma il fatto triste è che la maggior parte degli utenti non è particolarmente entusiasta di pagare per la sicurezza, e anche un prezzo ragionevole può costituire una barriera per loro. Ovviamente, è presente anche il problema di perdere i token piccoli.
Come scegliere l'implementazione 2FA più appropriata per il tuo servizio?
Tutto sommato, non esiste "il perfetto 2FA". Alcune implementazioni sono più sicure di altre, ma tutte hanno i loro problemi separati, il che significa che se stai eseguendo un servizio online, devi decidere quale tipo di 2FA implementerai in base ai tuoi utenti, alle loro esigenze, e i loro modelli di minaccia. Per maggiore flessibilità, la maggior parte dei fornitori di servizi consente alle persone di scegliere l'implementazione 2FA che desiderano utilizzare da un elenco di diverse opzioni diverse, e questo è forse l'approccio più ragionevole, data la diversità della base utenti.
Assicurati di non dimenticare una cosa, però: anche il 2FA più insicuro è meglio di nessun 2FA.
