autenticazione

Autenticazione a più fattori

23/01/2023

Aggiungere livelli di autenticazione per incrementare la sicurezza dei nostri account

Da sempre l’uomo affida il riconoscimento delle persone all’immagine del viso; un neonato, ad esempio, impara a riconoscere le espressioni della madre prima di ogni altra cosa ed è naturale abbinare un viso con una e una sola identità. L’identificazione comprende, quindi, in modo naturale il processo di autenticazione e orienta di conseguenza tutto il nostro comportamento sociale.

Nel contesto digital, il riconoscimento di caratteristiche quali viso, voce, postura è impossibile da un lato o facilmente eludibile dall’altro, mettendo a repentaglio quindi il naturale processo di identificazione e autenticazione; ecco perché diventa normalmente necessario aggiungere anche altri attributi che ne accrescano l’affidabilità, attributi che ricadono in una delle seguenti casistiche:

  • IO SONO, che identifica l’interlocutore mediante una caratteristica fisica connessa esclusivamente a lui (un elemento biometrico, per esempio);
  • IO SO, con la quale identifico l’interlocutore perché è in possesso di una password, un’informazione che solo io e lui condividiamo;
  • IO HO, ovvero un oggetto, una chiave, un token (es. la chiavetta generatrice di codici dell’home banking) codificata in comune con l’interlocutore.

Laddove manchino dati diretti, ci si può affidare normalmente a documenti emessi da enti ufficiali, che certifichino l’identità dell’interlocutore. Nel mondo digitale, questi sono rappresentati dalle Certification Authority.

In ambito digitale, il furto d’identità è reso estremamente possibile dalla quantità di indizi digitali che lasciamo in rete (si pensi alle immagini pubblicate sui social, oppure ai dati condivisi con altri, come indirizzo mail, rubrica dei contatti, partecipazione a sondaggi, commenti di orientamento politico). Queste informazioni restano disponibili per lungo tempo (se non per sempre) e diventano facili prede per i malintenzionati che potrebbero falsificarle e manometterle.

Come proteggere al meglio i nostri dati personali?

L’idea è quella di rendere sempre più robusto e consolidato il processo di autenticazione, per essere certi di verificare in modo univoco e veritiero l’identità del nostro interlocutore.

Dover dimostrare la propria identità è una prassi comune, magari quando ci colleghiamo ad un sistema bancario. Ma perché un solo fattore di riconoscimento, ad esempio un PIN o una password, non è sufficiente per proteggerci? Perché se quella password, per quanto complessa possa essere, è l’unico elemento associato alla nostra identità, cioè la nostra unica protezione, e viene intercettata e riconosciuta, la nostra capacità di fruire del sistema è compromessa ed è quanto meno a rischio. 

Ecco perché sempre più sistemi stanno abbandonando questo tipo di autenticazione intrinsecamente “debole” e optano, invece, per la cosiddetta autenticazione a più fattori (MFA – Multi factor authentication), che richiede di fornire simultaneamente due o più informazioni associate ad un utente. 

La Multi Factor Authentication rende il processo di autenticazione più complesso e sicuro: anche ammettendo che un hacker, servendosi di attacchi phishing o social engineering, riesca a rubare le credenziali di accesso all’utente (cioè la password), si suppone che non sia comunque in grado di accedere contemporaneamente al vettore dell’autenticazione secondaria (per esempio un’app su uno smartphone). 

L’autenticazione multi-fattore può offrire svariate opzioni di autenticazione, quali dati biometrici, un token di sicurezza (PIN) o la posizione geografica dell’utente. I progressi tecnologici hanno reso poi relativamente semplice la sua implementazione per gli account principali, i repository di dati e i sistemi cloud. La crescita vertiginosa dei furti di password e degli attacchi di violazione delle credenziali di accesso spiegano la sempre maggiore adozione di questo tipo di autenticazione.

Perché è stato necessario ricorrere all’autenticazione a due fattori? Essenzialmente a causa di due problemi principali. Innanzitutto, ci si è accorti che le risorse informatiche in mano ai cybercriminali permettono loro di effettuare milioni di tentativi in breve tempo per decifrare le password delle potenziali vittime. A questo si aggiunge la pessima abitudine degli utenti di utilizzare spesso la stessa password su sistemi e account differenti. È evidente, quindi, che una volta violata tale password, un malintenzionato potrà accedere a tutti i sistemi cui può accedere la vittima. 

In alcuni casi, l’autenticazione a più fattori non è una scelta; spesso, ma purtroppo non ancora in modo massiccio e diffuso, le aziende richiedono ai dipendenti di fornire molteplici forme di autenticazione per accedere a risorse, come le reti private virtuali (VPN) e ai sistemi cloud. In altri casi, invece, l’utilizzo di questo metodo è facoltativo: molti siti web e applicazioni offrono l’opzione MFA, ma è una nostra scelta abilitarla.

Perché scegliere l’autenticazione a più fattori?

Ecco tre buoni motivi per cui dovremmo sempre utilizzare l’autenticazione multi-fattore (se disponibile):

  1. È facile da attivare – Ogni volta che ci si collega è necessaria un’azione per abilitare l’MFA, ma la procedura è semplice; i siti e le applicazioni generalmente offrono istruzioni semplici e chiare per la relativa configurazione.
  2. È semplice da utilizzare – Ci sono diversi modi in cui un’azienda può implementare l’autenticazione a più fattori, ma qualunque sia la tecnologia utilizzata per i fattori di autenticazione aggiuntivi, il processo di login richiede solo pochi secondi in più.
  3. È molto più sicura di una semplice password –Come già detto, i criminali informatici hanno accesso ad una mole inimmaginabile di nomi utente e password rubate, vendute nei forum clandestini; pertanto, anche solo ipotizzare che la nostra password sia di difficile individuazione è purtroppo oggi sempre più un azzardo.

Read more

Come creare una password sicura

09/01/2023

Creare password solide: minimo sforzo, maggior sicurezza

Tra le password più utilizzate nell’ultimo anno continuano a comparire combinazioni alfanumeriche banali e di uso comune. Ci credi che nel 2021 la password più gettonata, usata da oltre 100 milioni di persone in tutto il mondo, è stata 123456? A seguire c’è chi ha pensato di accorciare questa sequenza di numeri optando per 12345 o di allungarla arrivando fino al numero 9. Non mancano altre password estremamente semplici come, 111111, 123123 o addirittura “password” e “qwerty”.  Questi dati, all’apparenza “divertenti”, sono in realtà esplicativi di un problema diffuso: la scarsa consapevolezza in materia di sicurezza informatica.

Essere consapevoli oggi può fare la differenza nell’affrontare e prevenire gli attacchi informatici, partendo proprio dall’utilizzo di password efficaci. Vediamo insieme come crearle in maniera corretta. 

Anzitutto, è necessario creare una password il più lunga possibile (almeno 12 caratteri), che includa numeri, simboli e lettere minuscole e maiuscole. Questo perché, quanto più lunga è una password, tanto più tempo occorrerà al malintenzionato per provare tutte le possibili combinazioni per trovare quella giusta (tecnica nota come brute force).

Con le attuali potenze di calcolo, per esempio, un aggressore potrebbe indovinare una password di otto caratteri in meno di un giorno, mentre una password lunga 12 caratteri richiederebbe due settimane. Per una password lunga 20 caratteri sarebbero invece necessari 21 secoli.

Creare una password lunga e complessa è sufficiente?

La risposta è no! Purtroppo gli hacker dispongono, infatti, di strumenti sofisticati, che sono in grado di indovinare le password sulla base di parole di uso corrente e modelli comuni, come scrivere la prima lettera in maiuscolo o aggiungere un punto esclamativo alla fine. Non solo, se ci si affidasse a frasi anche complesse ma note, per esempio un proverbio, l’indovinare le prime parole renderebbe immediato al malintenzionato l’intuire la password intera (carpire un “è meglio un”, permetterebbe di azzeccare quasi sicuramente il resto: “un uovo oggi che una gallina domani”). 

Per rendere una password più resistente a tali strumenti è necessario quindi aumentarne la casualità, creando magari combinazioni di parole senza alcun senso. Un altro modo per creare delle password efficaci è utilizzare un generatore di password, un software che permette di generare password velocemente e a random.

Come detto, per proteggere i nostri account nella maniera corretta dobbiamo usare password complesse, cioè lunghe a sufficienza e casuali; ma molte persone, per evitare di doverle ricordare a memoria, adottano la pericolosa abitudine di riutilizzare sempre la stessa per tutti i propri account; chiaro che, se un malintenzionato ne entra in possesso, questi è poi in grado di accedere a tutti gli account della vittima. Gli aggressori sfruttano spesso questa condizione.

Ma come ricordarle allora, senza cadere nel vecchio errore di trascriverle su un post-it, sulla nostra agenda o nelle note del nostro smartphone?

La soluzione migliore è quella di utilizzare un password manager, ovvero un software che permette di gestire tutte le password dei nostri account, custodite in una “cassaforte” (vault) che è accessibile attraverso un’unica password centrale, quella del password manager stesso, che è l’unica da ricordare; una volta inserita, si ottiene l’accesso a tutte le altre, che possono essere utilizzate per il caso in oggetto, magari sfruttando l’operazione di “copia-incolla”. 

Consigli utili per creare e proteggere le proprie password

  1. Creare password lunghe e casuali: le password che utilizzano parole comuni, nomi di animali o altre informazioni personali possono essere facilmente indovinate dai pirati informatici.
  2. Non riutilizzare mai le stesse password: creare una password unica e solida per ogni account o dispositivo. In questo modo, se un singolo account viene violato, non si metteranno in pericolo gli altri.
  3. Utilizzare un gestore delle password: questi strumenti possono memorizzare e gestire in modo sicuro le password e generarne di nuove solide ed efficaci. Alcuni di questi strumenti avvisano anche qualora una password venga violata.
  4. Evitare di trascriverle: molti fanno l’errore di scrivere le password su post-it o foglietti e di lasciarli in bella vista. Anche nascondendo i fogli dove sono annotate le password, qualcuno potrebbe comunque trovarli. Allo stesso modo, è bene non archiviare le informazioni di accesso all’interno di un file sul computer o smartphone.
  5. Assolutamente non condividerle: non si può avere la certezza che qualcun altro terrà le credenziali al sicuro e si potrebbe essere ritenuti responsabili di un eventuale danno, qualora qualcuno si colleghi al nostro posto (principio del “non ripudio”).
  6. Salvare i dati di accesso all’interno del browser solo se i browser sono dotati delle opportune misure di sicurezza: attenzione però, che se un’altra persona entrasse in possesso del dispositivo, potrebbe accedere a tutte le applicazioni previste dagli account memorizzati.

Read more