Nel corso degli anni, l’industria si è trovata in difficoltà nel tentativo di potenziare (o aggiornare) la password, utilizzando ogni sorta di terminologia confusa come l’autenticazione a due fattori (2FA), l’autenticazione in due passaggi, l’autenticazione multifattoriale (MFA) e la più recente confusione del secondo fattore universale (U2F), Fast IDentity Online 2 (FIDO2), WebAuthn e passkeys.
Finora, la maggior parte di noi era soddisfatta del fatto che qualcuno adottasse una qualsiasi delle soluzioni sopra descritte. Qualsiasi cosa in più rispetto a una password è un miglioramento, ma ora abbiamo raggiunto il punto in cui dobbiamo alzare il livello minimo di accettabilità. In questo post analizzerò lo stato attuale dell’aggiramento dei metodi di autenticazione più “forti” e, a mio avviso, indicherò la strada migliore da seguire.
Neanche troppo smart
Troppe delle opzioni “2FA” più semplici non sono fedeli al vero significato di autenticazione a due fattori. Idealmente, i due fattori possono essere di due dei tre tipi seguenti: qualcosa che si conosce (come una password o un PIN), qualcosa che si possiede (come un token USB/Bluetooth, una SmartCard o una coppia di chiavi pubbliche/private) o qualcosa che si è (come un’impronta digitale o un’impronta del volto). Purtroppo, la maggior parte delle prime soluzioni si riducono a qualcosa che si conosce e a… qualcos’altro che si conosce.
Prendiamo ad esempio i modelli di “2FA” con token RSA, SMS o TOTP (password monouso a tempo; ad esempio, Google Authenticator o Authy), dove nella maggior parte dei casi viene presentato un codice a 6 cifre che cambia ogni 30 secondi. Sebbene siano state criticate le implementazioni via SMS a causa della possibilità di scambio di SIM, la realtà è che sono tutte deboli e soggette a intercettazione.
Ecco il problema. Immaginate di ricevere un’e-mail di phishing ben confezionata (forse generata dall’intelligenza artificiale). Perché il truffatore riesca a compromettervi in questa fase, è sufficiente che crediate che l’e-mail sia legittima, a prescindere dall’uso che fate dell’autenticazione multifattoriale. È qui che sfidare qualcuno a rivelare due cose che conosce bene (la password e un codice segreto generato dinamicamente) porta alle lacrime: se si è davvero convinti di accedere al proprio account bancario, di posta elettronica o aziendale, si finirà per rivelare volentieri non solo la password, ma anche il codice segreto. Questo tipo di autenticazione avviene in una sola direzione: il truffatore sta verificando la vostra identità, ma voi non avete verificato l’identità dell’entità che vi chiede la prova.
Esistono infatti strumenti facilmente reperibili per automatizzare questo tipo di inganno. Uno dei più popolari è evilginx2. Originariamente basato sul popolare server web nginx, è ora un’applicazione Go indipendente che funge da strumento all-in-one per falsificare l’autenticazione multifattoriale (knowledge-based) e rubare i cookie di sessione per bypassare l’autenticazione. Ciò ha abbassato ulteriormente il limite tra il comportamento eticamente scorretto e il crimine informatico.
Come siamo arrivati a questo punto?
Se consideriamo la storia della compromissione delle credenziali, tutto è iniziato con lo sniffing di Wi-Fi non cifrato o con l’esecuzione di altri attacchi basati sulla rete prima che le cose venissero cifrate. Nel 2010 esisteva un famigerato strumento chiamato FireSheep, progettato per consentire agli aggressori di entrare in un bar e rubare passivamente i login delle persone a causa della mancanza di crittografia sul web.
In risposta agli attacchi e alle fughe di notizie di Edward Snowden nel 2013, abbiamo iniziato a crittografare quasi tutto ciò che è online. Questo cambiamento ci ha messo al riparo dai cosiddetti attacchi machine-in-the-middle (MitM). Oggi l’uso di HTTPS è quasi onnipresente sul web e persino nelle app per smartphone, il che impedisce a qualsiasi malintenzionato di intercettare le attività online.
I criminali sono poi passati al furto di credenziali e, nella maggior parte dei casi, la maggior parte di noi è passata a qualche variante dell’autenticazione multifattoriale, ma anche in questo caso, di solito solo la variante più economica e semplice: qualcosa che conosciamo, più un effimero qualcos’altro che conosciamo. Si tratta di un sistema inefficace e dobbiamo fare i conti con questa situazione ancora una volta.
Dopo molte riunioni del comitato e la creazione di organismi di standardizzazione, il consenso dell’industria si è stabilizzato su uno standard ampiamente condiviso noto come Web Authentication API, o WebAuthn. Se volete approfondire la questione della confusione sui vari aspetti, c’è un thread su Reddit a questo proposito, ma non mi addentrerò oltre nella questione in questa sede.
Continua a leggere l’articolo.
