2FA? C’è chi dice sì e c’è chi dice no. In questi giorni si torna a parlare di autenticazione a due fattori per una violazione accaduta qualche tempo fa ai sistemi informativi di Reddit, sito Internet di social news e intrattenimento. Intercettando i messaggi SMS utilizzati per autenticare i dipendenti che accedevano ai dati riservati, alcuni hacker hanno trafugato indirizzi email e il backup di un database risalente al 2007, a sua volta contenente una serie di password. Ecco perché gli esperti rimettono sul tavolo l’approccio 2FA tramite SMS.
2FA: come funziona
2FA è la pratica di utilizzare due fattori di autenticazione per dimostrare l’identità di un utente. I fattori di autenticazione possono essere diversi come, per esempio, qualcosa che si possiede, qualcosa che si conosce o qualche aspetto del proprio essere. Esistono altri fattori di autenticazione, ma quelli usati più comunemente sono quelli citati.
I due fattori di autenticazione più comunemente utilizzati sono un fattore di conoscenza, nel caso specifico una password, e un fattore di possesso, come possono essere un token di sicurezza, uno smartphone o un fattore biometrico, come un’impronta digitale o una scansione facciale. Come è noto, le password, che sono state il principale fattore di autenticazione per la maggior parte della storia dell’informatica, portano con sé alcuni rischi.
Come è stato sferrato l’attacco a Reddit
Reddit non è stata la prima organizzazione a essere violata a causa di una debolezza nel proprio sistema di autenticazione. E non sarà l’ultima, avvertono gli osservatori. Questi sistemi, infatti rappresentano una parte critica e complessa delle difese aziendali e, proprio per questo, devono essere protetti con cura.
Cosa è successo a Reddit? Secondo quanto riportato dal portavoce, un utente malintenzionato ha compromesso alcuni account dei dipendenti utilizzando 2FA basati su SMS per ottenere l’accesso al loro provider di hosting lato cloud e lato codice sorgente. Non è chiaro in che modo l’hacker abbia acquisito la password utilizzata per compromettere gli account o se fossero presenti altri controlli di monitoraggio della sicurezza poiché Reddit non ha specificato in che modo il sistema 2FA utilizzato abbia ignorato l’attacco. Certo è che l’SMS non è la piattaforma più adatta per rilasciare password monouso (OTP), dal momento che il protocollo di messaggistica si sa da tempo essere pieno di vulnerabilità e punti deboli. I messaggi SMS possono essere falsificati o soggetti ad attacchi man-in-the-middle (una tipologia di attacco in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro); nel caso dell’uso di 2Fa per SMS un utente malintenzionato può intercettare le OTP.
Nel caso di Reddit l’hacker non è stato in grado di ottenere l’accesso in scrittura ai sistemi. In ogni caso, per rafforzare la sicurezza relativa alla gestione degli accessi, la società ha comunque deciso di cambiare i suoi criteri di protezione e le sue chiavi API. Tra le best practice della sicurezza, infatti, è buona regola cambiare periodicamente le chiavi API e programmare in maniera strategica il ciclo di vita dei sistemi di sicurezza.
I pro e i contro dell’autenticazione a due fattori
Sono in molti a considerare l’autenticazione a due fattori una panacea per proteggere gli utenti. Va detto però che, se è vero che la 2FA migliora drasticamente le protezioni dell’utente, è vero anche che dei rischi comunque permangono. Gli hacker, infatti, hanno imparato a contrastare i controlli di sicurezza per compromettere la protezione di questo tipo di sistema. I sistemi di autenticazione 2FA offrono diverse opzioni che possono essere configurate in base alle esigenze dell’applicazione. Gli aggressori possono intercettare le password monouso fornite dai sistemi 2FA basati su SMS. Possono anche utilizzare tecniche di social engineering per intercettare le loro vittime nel momento in cui vengono consegnati i loro messaggi di autenticazione SMS. Gli attaccanti hanno anche altre opzioni per aggirare il secondo fattore, compreso lo sviluppo di un attacco in overlay che attiva il pulsante Approva su uno smartphone o l’autenticazione SMS preventiva, mediante la registrazione di un nuovo token hardware.
In conclusione, le aziende che utilizzano 2FA basate su SMS per proteggere tutti quegli account che hanno privilegi elevati dovrebbero programmare un piano di migrazione. Tuttavia, date le risorse che occorrono per spostare gli account, le imprese che desiderano modificare il loro approccio alla 2FA basato su SMS dovrebbero tenere presente che l’attività di migrazione ha una priorità elevata solo per la transizione di account con valore elevato e privilegi di un certo tipo.
