Internet più sicura con l’autenticazione a due fattori

07_Art_Sicurezza_287

Il cloud permette di accedere ai propri documenti e a tanti servizi utili da qualsiasi luogo e in qualsiasi momento. Ma qual è il livello di sicurezza? Nella maggior parte dei casi, l’accesso è protetto da una semplice password. Un approccio che ha molti limiti e che, soprattutto se utilizzato con leggerezza, espone al rischio di subire il furto dei dati. Eppure esiste una forma di protezione molto più efficace: la cosiddetta autenticazione a due fattori, che oggi molti servizi online permettono di implementare con grande facilità . In questo articolo esamineremo i punti deboli della tradizionale autenticazione tramite password, poi vi spiegheremo come funziona l’autenticazione a due fattori e vi mostreremo come attivarla per blindare la vostra identità  digitale e proteggere meglio i vostri dati nel cloud. 

di Marco Schiaffino

ICON_EDICOLANell’estate del 2012, il giornalista americano Mat Honan è stato vittima di un attacco da parte di un gruppo di hacker il cui obiettivo, come ha raccontato nel suo blog, era impadronirsi del suo account Twitter. L’attacco ha avuto successo, ma non si è fermato a Twitter: nel giro di un’ora la vita digitale di Honan si è disintegrata. Oltre a sottrargli l’account Twitter, gli hacker hanno eliminato anche il suo account Gmail e hanno cancellato da remoto tutti i dati che conservava sull’iPhone, sull’iPad e sul MacBook, compresi anni di fotografie familiari (di cui colpevolmente non aveva mai fatto il backup).

Un vero incubo, ma fa ben comprendere l’importanza che oggi ha la nostra identità  digitale. Nell’era del cloud, il “patrimonio digitale” di una persona può comprendere documenti, contatti, musica, foto, video e libri, ma anche informazioni riservate, comunicazioni personali, accrediti per i servizi di home banking e persino documenti relativi alle comunicazioni con la pubblica amministrazione. Beni intangibili, che tuttavia possono avere un valore anche superiore a quelli fisici. L’aspetto della loro protezione, però, è ancora sottovalutato ed è grave, perché la sempre maggiore decentralizzazione degli ecosistemi digitali in cui si muoviamo ha assottigliato il livello di controllo che abbiamo sulla loro gestione. Come insegna la disavventura di Honan, la disponibilità  della nostra vita digitale dipende dalla nostra identità  e, in definitiva, dall’efficacia con qui può essere verificata attraverso l’autenticazione, ovvero il processo che permette di associare un’identità  a una persona.

C’era una volta la password

Il metodo di autenticazione più semplice e diffuso è la password, ovvero qualcosa che conosciamo e che ci permette di confermare la nostra identità  in maniera relativamente semplice. Uno dei rischi legati all’utilizzo della password è quello di sottovalutarne la fragilità : come vedremo, questa dipende da numerosi aspetti, che incidono in misura maggiore o minore sul livello di sicurezza di tutti gli account. Il primo è più ovvio riguarda la robustezza della password. Qui la minaccia è rappresentata dagli attacchi di brute forcing, ovvero da quei software che cercano di violare una password utilizzando il metodo più semplice: provare tutte le possibili combinazioni nella speranza di identificare quella giusta. A prima vista può sembrare un’operazione disperata, ma non è così.

Utilizzando un normale PC desktop per la verifica di tutte le combinazioni possibili, il tempo necessario per individuare una password composta da 8 lettere minuscole digitate a caso, infatti, richiede meno di un minuto secondo le stime del sito www.howsecureismypassword.net. Usando però per i calcoli i potentissimi processori grafici (Gpu) delle moderne schede video, i tempi si riducono drasticamente. Un prototipo di questo tipo, realizzato un paio di anni dallo Strictur Consulting Group, usava un cluster di 5 server con in tutto 25 Gpu e si era rivelato un “mostro” in grado di provare 348 miliardi di combinazioni al secondo. Teoricamente i servizi online dovrebbero essere protetti dagli attacchi basati sul brute forcing attraverso l’imposizione di un limite massimo di tentativi di accesso in un dato periodo di tempo.

Le eccezioni, però, ci sono. Lo scorso marzo, per esempio, il ricercatore Ibrahim Balic ha individuato nel sistema di autenticazione iCloud di Apple una falla che permetteva di eseguire “pacchetti” di 20.000 tentativi di accesso alla volta, aprendo la strada all’uso del brute forcing per violare gli account del servizio. Una falla che, secondo quanto riportato lo stesso Balic, è stata chiusa solo dopo sei lunghi mesi dalla sua scoperta. (…)

Trovate l’articolo completo su PC Professionale di febbraio 2015

PCProfessionale © riproduzione riservata.