Il cloud permette di accedere ai propri documenti e a tanti servizi utili da qualsiasi luogo e in qualsiasi momento. Ma qual è il livello di sicurezza? Nella maggior parte dei casi, l’accesso è protetto da una semplice password. Un approccio che ha molti limiti e che, soprattutto se utilizzato con leggerezza, espone al rischio di subire il furto dei dati. Eppure esiste una forma di protezione molto più efficace: la cosiddetta autenticazione a due fattori, che oggi molti servizi online permettono di implementare con grande facilità . In questo articolo esamineremo i punti deboli della tradizionale autenticazione tramite password, poi vi spiegheremo come funziona l’autenticazione a due fattori e vi mostreremo come attivarla per blindare la vostra identità digitale e proteggere meglio i vostri dati nel cloud.
di Marco Schiaffino
Un vero incubo, ma fa ben comprendere l’importanza che oggi ha la nostra identità digitale. Nell’era del cloud, il “patrimonio digitale” di una persona può comprendere documenti, contatti, musica, foto, video e libri, ma anche informazioni riservate, comunicazioni personali, accrediti per i servizi di home banking e persino documenti relativi alle comunicazioni con la pubblica amministrazione. Beni intangibili, che tuttavia possono avere un valore anche superiore a quelli fisici. L’aspetto della loro protezione, però, è ancora sottovalutato ed è grave, perché la sempre maggiore decentralizzazione degli ecosistemi digitali in cui si muoviamo ha assottigliato il livello di controllo che abbiamo sulla loro gestione. Come insegna la disavventura di Honan, la disponibilità della nostra vita digitale dipende dalla nostra identità e, in definitiva, dall’efficacia con qui può essere verificata attraverso l’autenticazione, ovvero il processo che permette di associare un’identità a una persona.
C’era una volta la password
Il metodo di autenticazione più semplice e diffuso è la password, ovvero qualcosa che conosciamo e che ci permette di confermare la nostra identità in maniera relativamente semplice. Uno dei rischi legati all’utilizzo della password è quello di sottovalutarne la fragilità : come vedremo, questa dipende da numerosi aspetti, che incidono in misura maggiore o minore sul livello di sicurezza di tutti gli account. Il primo è più ovvio riguarda la robustezza della password. Qui la minaccia è rappresentata dagli attacchi di brute forcing, ovvero da quei software che cercano di violare una password utilizzando il metodo più semplice: provare tutte le possibili combinazioni nella speranza di identificare quella giusta. A prima vista può sembrare un’operazione disperata, ma non è così.
Utilizzando un normale PC desktop per la verifica di tutte le combinazioni possibili, il tempo necessario per individuare una password composta da 8 lettere minuscole digitate a caso, infatti, richiede meno di un minuto secondo le stime del sito www.howsecureismypassword.net. Usando però per i calcoli i potentissimi processori grafici (Gpu) delle moderne schede video, i tempi si riducono drasticamente. Un prototipo di questo tipo, realizzato un paio di anni dallo Strictur Consulting Group, usava un cluster di 5 server con in tutto 25 Gpu e si era rivelato un “mostro” in grado di provare 348 miliardi di combinazioni al secondo. Teoricamente i servizi online dovrebbero essere protetti dagli attacchi basati sul brute forcing attraverso l’imposizione di un limite massimo di tentativi di accesso in un dato periodo di tempo.
Le eccezioni, però, ci sono. Lo scorso marzo, per esempio, il ricercatore Ibrahim Balic ha individuato nel sistema di autenticazione iCloud di Apple una falla che permetteva di eseguire “pacchetti” di 20.000 tentativi di accesso alla volta, aprendo la strada all’uso del brute forcing per violare gli account del servizio. Una falla che, secondo quanto riportato lo stesso Balic, è stata chiusa solo dopo sei lunghi mesi dalla sua scoperta. (…)
Trovate l’articolo completo su PC Professionale di febbraio 2015