Autenticazione a due fattori: cos’è e come funziona?

Nata per rafforzare la sicurezza degli account, l'autenticazione a due fattori (2FA) aggiunge un livello di protezione dagli hacker. Anche ammettendo che un attaccante, servendosi di attacchi phishing o social engineering, riesca a rubare le credenziali di accesso all'utente, non sarebbe comunque in grado di accedere ai suoi account senza un'autenticazione secondaria. L'autenticazione a più fattori può offrire svariate opzioni di autenticazione come i dati biometrici, un token di sicurezza (PIN), o la posizione geografica dell'utente.

L'autenticazione a 2 fattori è stata introdotta quando ci si è accorti che la potenza di calcolo dei dispositivi moderni, permetteva di scovare le password tramite attacchi brute force. Gli attuali sistemi di calcolo in mano ai cybercriminali permettono loro di effettuare milioni di tentativi al secondo per decifrare le password crittografate delle vittime. Quando i computer quantistici saranno finalmente disponibili nel panorama IT, le comuni password, anche protette dalle più avanzate librerie di crittografia, saranno rese inutili e obsolete.

Un ulteriore problema che agevola enormemente la vita dei cybercriminali è costituito dalla pessima abitudine di utilizzare la stessa password su sistemi e account differenti. È impossibile per l'utente potersi ricordare password univoche da 10 caratteri, per dozzine di account differenti, perciò in molti casi si finisce per utilizzare la stessa password su piattaforme differenti. Se l'attaccante riesce a rubare la password di un account, sarà così in grado di accedere anche agli altri account della vittima. Strumenti come i password manager permettono agli utenti di conservare tutte le proprie password senza il bisogno di ricordarle, ma anche in questo caso, se l'attaccante riesce a trovare la password di accesso principale del gestore delle password, tutte le password memorizzate saranno compromesse.

Come funziona l’autenticazione a più fattori

L'autenticazione a due fattori (2FA), multifattore (MFA) nel caso le autenticazioni siano superiori a 2, è stata introdotta per neutralizzare gli attacchi phishing e brute force. Il modo in cui la 2FA opera dipende dai requisiti per l'autenticazione secondaria, ma il funzionamento di base è lo stesso. Agli utenti viene fornito un nome utente e una password. Questi due parametri rappresentano lo standard di autenticazione per la maggior parte dei sistemi. Quando viene aggiunta l'autenticazione a 2 fattori, l'utente deve superare una seconda autenticazione per accedere all'account.

Il metodo più comune di autenticazione a più fattori è tramite l'utilizzo di un token, solitamente una OTP (one-time password) inviata sul telefono dell'utente tramite SMS. Inviare un PIN (Personal Identification Number) al telefono dell'utente è il metodo più comune di aggiungere la autenticazione a più fattori al processo di autenticazione. La maggior parte degli utenti possiede uno smartphone, e questo fa sì che, non avendo a disposizione il telefono della vittima, non sarà possibile per l'attaccante completare il processo di autenticazione.

Componenti della autenticazione multifattore

I fattori per l'autenticazione MFA devono includere almeno due dei seguenti componenti:

• Qualcosa che possiede l'utente: l'utente potrebbe avere una chiave hardware, una chiavetta USB o una carta bancaria per identificarsi.
• Qualcosa che l'utente conosce: generalmente, può trattarsi di una password memorizzata, ma può essere qualsiasi informazione conosciuta soltanto dall'utente.
• Qualcosa che fa parte dello stesso utente: i dati biometrici come le impronte digitali, la voce, l'iride, possono essere utilizzati per identificare l'utente.
• Qualche luogo in cui si trova l'utente: segnali dai dispositivi dell'utente, come ad esempio il GPS, segnalano che l'utente si trova nei pressi del sistema.

Utilizzando almeno due dei fattori di autenticazione appena visti, le probabilità che un attaccante riesca ad avere accesso ad entrambi i componenti sono statisticamente molto basse. Va tenuto presente però, che il protocollo utilizzato per l'invio degli SMS all'utente - Signaling System No 7 (SS7) – è stato violato, e i PIN inviati agli smartphone potrebbero quindi potenzialmente essere intercettati.

Questa recente vulnerabilità nel protocollo SS7 ha spinto le aziende a passare ad altri modi di utilizzo dell'autenticazione a due fattori usando i canali dati. Attacchi social engineering mirati sono stati molte volte utilizzati per convincere gli utenti a divulgare i propri PIN, dando accesso agli attaccanti ai propri account, nonostante l'autenticazione multifattore.

Problematiche relative all’implementazione della 2FA

A causa della vulnerabilità del protocollo SS7, molte aziende hanno iniziato ad utilizzare le OTP tramite canali dati. Anche le email restano un'opzione, ma lasciano l'utente vulnerabile in caso di compromissione dell'account di posta. Utilizzare strumenti di autenticazione installati sul dispositivo dell'utente costituisce un'opzione migliore. Come secondo step del processo di autenticazione, essi mostrano all'utente il PIN da utilizzare per autenticarsi nel sistema.

I dati biometrici rappresentano un'opzione molto più sicura che usare i PIN, perché questo secondo step di autenticazione non può essere intercettato. Tuttavia questo metodo di autenticazione a più fattori presenta i suoi svantaggi. I sistemi per il rilevamento dei dati biometrici sono molto costosi e non sono ancora stati perfezionati, rendendo difficile per aziende e utenti integrarli nei propri sistemi. Stanno tuttavia diventando molto meno costosi oggigiorno, adottati sempre più spesso dagli smartphone di nuova generazione, anche se non possono ancora essere integrati facilmente con sistemi e applicazioni desktop.

L'autenticazione a due fattori è stata introdotta quando il phishing e il social engineering sono diventati il vettore primario di attacco utilizzato dai cybercriminali per compromettere account e sistemi. Le email di phishing contenenti link ed allegati malevoli, keylogger, e richieste di credenziali di accesso rappresentano una seria minaccia sia per i privati che per le aziende. Gli attacchi phishing che portano al furto di credenziali costano alle aziende milioni in data breach. Ma costituiscono un pericolo anche per gli utenti privati. Se non è stato attivato un meccanismo di autenticazione a 2 fattori, conoscendo le credenziali dell'utente, l'attaccante può accedere al suo account.

Gli attaccanti sfruttano tecniche di social engineering per una serie di motivi, ma uno su tutti è spingere gli utenti a divulgare le credenziali dei propri account. Una semplice telefonata convincente, può permettere all'attaccante di ottenere l'accesso ad account privilegiati, che possono spalancare le porte a pericolosi data breach. Negli attacchi più avanzati, l'attaccante può servirsi di un mix di phishing e social engineering per entrare in possesso delle credenziali.

Attivando un sistema di 2FA questo tipo di attacchi vengono praticamente neutralizzati. Anche entrando in possesso delle credenziali dell'utente con tecniche di social engineering, l'attaccante non avrebbe comunque accesso al metodo di autenticazione secondario.

Autenticazione a più fattori ed il social engineering

Aggiungendo un metodo di autenticazione secondario, la sicurezza dell'account si rafforza enormemente, anche se in certi casi gli attaccanti riescono comunque a bypassare la 2FA tramite il social engineering. Ad esempio l'attaccante potrebbe contattare l'utente dopo essere entrato in possesso delle sue credenziali, per convincerlo a comunicare il PIN di autenticazione. Con l'autenticazione biometrica invece, il social engineering è pressoché inutile, ma purtroppo la maggior parte delle aziende fa ancora affidamento sul PIN come metodo di autenticazione secondario. Finché l'autenticazione biometrica non sarà implementata su larga scala, il social engineering continuerà ad essere una seria minaccia per coloro che utilizzano i PIN come metodo di autenticazione aggiuntivo.

Qualsiasi amministratore di siti web o di sistemi che conservano dati sensibili dovrebbe utilizzare almeno un sistema di autenticazione a due fattori. Senza un 2FA il sistema resta vulnerabile agli attacchi di tipo brute-force e al furto delle credenziali di accesso. Ovviamente implementare un meccanismo di autenticazione multifattore costituisce uno sforzo aggiuntivo per gli sviluppatori, perciò in molti casi, quando non si gestiscono dati sensibili, tale funzionalità non viene implementata.

Prima di decidere che la 2FA non è necessaria, lo sviluppatore dovrà studiare bene le normative vigenti in tema di privacy e protezione dei dati per assicurarsi di non violare alcuna legge. Alcuni standard di sicurezza richiedono che l'autenticazione a due fattori sia implementata su tutti i sistemi critici che gestiscono dati sensibili. I sistemi che conservano dati finanziari, dati di identificazione personali (PII), o dati clinici delle persone, devono tassativamente adottare meccanismi di 2FA o MFA per l'autenticazione. Se non strettamente necessaria per utilizzi interni, gli amministratori dovranno però certamente utilizzarla per accedere da remoto, al fine di rispettare le normative.

Le opzioni di integrazione di terze parti agevolano l'implementazione di meccanismi di autenticazione a più fattori nel processo di autenticazione. Se il sistema è accessibile pubblicamente, significa che l'attaccante potrebbe riuscire ad autenticarsi utilizzando credenziali rubate. In casi come questo, l’autenticazione a più fattori va aggiunta al processo di autenticazione. Possono essere inoltre utilizzati altri sistemi di rilevamento delle frodi, per riconoscere attacchi brute-force e phishing, ma il primo passo per fermare i cybercriminali è adottare l'autenticazione a doppio fattore sui propri sistemi.