Two-factor authentication

L’importanza dell’autenticazione a più fattori per la sicurezza delle e-mail

In occasione del World Password Day, gli esperti hanno ricordato l’importanza di utilizzare l’autenticazione a più fattori, illustrando i dati del report di Hold Security relativo a una cache di 1,17 miliardi di credenziali rubate (a seguito numerose violazioni)

Pubblicato il 23 Mag 2016

login-1203603-640-160519125126

1,17 miliardi di credenziali rubate a seguito di numerose violazioni hanno mosso Google, Yahoo, Microsoft, Mail.ru e altri fornitori di servizi webmail tedeschi e cinesi a esaminare con cura un rapporto realizzato da Hold Security in merito alla inquietante scoperta.

La società di sicurezza ha ottenuto l’accesso a questi dati in cambio della pubblicazione di commenti positivi sulle pagine social di un giovane hacker russo (il che ha sollevato qualche dubbio in merito all’autenticità di queste informazioni).

Dopo aver eliminato i duplicati, il portavoce di Hold Security ha dichiarato che gli utenti unici erano 272 milioni, mentre 42,5 milioni non erano mai stati visti prima. La maggior parte delle credenziali provenivano da Mail.ru (57 milioni), seguito da Yahoo (40 milioni), Hotmail (33 milioni) e Gmail (24 milioni).

Mail.ru ha riferito all’agenzia di stampa Reuters di aver avviato un processo di verifica per chiarire se queste combinazioni di username/password corrispondano effettivamente a degli account di propri utenti e se questi siano attivi; dai primi controlli sembra non sia ancora stata trovata alcuna combinazioni che corrisponda effettivamente a indirizzi di posta elettronica esistenti. Yahoo e Google hanno confermato di stare esaminado il rapporto, mentre Microsoft ha detto di possedere misure di sicurezza in grado di rilevare la presenza di account compromessi, richiedere ulteriori informazioni per avviare le verifiche con i proprietari degli account e aiutarli a riottenerne l’accesso esclusivo.

Riutilizzare la stessa password su più account? Sbagliato!

Alcuni esperti hanno fatto notare che, anche se le combinazioni nome utente / password non sono validi, i cybercriminali potrebbero comunque utilizzare gli indirizzi e-mail rubati per avviare campagne di spam. Jonathan Cran, vice-president of operations presso la società di sicurezza Bugcrowd, ha detto che ciascuno dei principali fornitori ha la possibilità di imporre modifiche agli account: ciò significa che probabilmente  la maggior parte di questi profili saranno presto disattivati o costretti una reimpostazione della password.

Tuttavia, L’esperto ha sottolineato che la scoperta di una tale raccolta di credenziali rubate conferma ancora una volta che la password da sola non rappresenta più un meccanismo di autenticazione sicuro. “Una violazione in un dato provider – ha fatto notare Cran – può influenzare anche gli account dello stesso utente presenti su altri provider, nel caso in cui vi sia un riutilizzo della stessa password per diversi account. E questo rappresenta un pericolo chiaro e realistico per le aziende, dato che molti utenti utilizzano la stessa password sia per gli account personali che per quelli professionali”.

L’autenticazione a più fattori

Anche se i principali fornitori colpiti supportano l’autenticazione a due fattori (2FA-Two-factor authentication), hanno riferito che probabilmente la maggior parte delle credenziali rubate sono associate ad account non abilitati alla 2FA. “Secondo le stime – ha spiegato Cran –  su Gmail l’adozione della 2FA è attualmente a meno del 10%, ma nei prossimi dieci anni mi aspetto che l’utilizzo dell’autenticazione a due fattori cresca ampiamente. Oggi come oggi, in ogni caso, il problema delle credenziali è questione importante per tutti”. Secondo David Melamed, senior research engineer di CloudLock, i servizi Cloud che supportano  l’autenticazione a più fattori dovrebbero essere preferiti rispetto agli altri. L’esperto ritiene inoltre che monitorare continuamente le aree oscure del web stia diventando di vitale importanza per le aziende: solo così è infatti possibile reagire in tempo (quasi) reale e limitare i danni provocati da attacchi informatici.

C’è bisogno di ripensare il concetto di password

La Giornata Mondiale della password, il 5 di maggio, è statainfatti una campagna volta a promuovere l’uso dell’autenticazione a più fattori per migliorare la sicurezza online. “Più ci muoviamo nella nostra vita online – ha dichiarato David Mount, direttore della società di software Micro Focus -, più abbiamo bisogno di poter contare su un modo efficace per dimostrare in modo sicuro la nostra reale identità. A questo scoppo si possono utilizzare, per esempio, token, biometria, indicatori comportamentali o un mix di queste misure, in base alla sensibilità delle informazioni o del servizio da proteggere”. Durante il World Password Day, anche il CTO di Gemalto Jason Hart ha ribadito la poca sicurezza garantita dalle password tradizionali: “Le password statiche comportano sempre il rischio di violazione. Le organizzazioni hanno bisogno di cercare alternative per autenticare gli utenti e rafforzare la sicurezza. Soprattutto, le aziende dovrebbero adottare una strategia di sicurezza olistica che offra loro più livelli di protezione e comprenda strategie come l’autenticazione a due fattori, la crittografia dei dati e un’opportuna gestione delle chiavi”. Will Harwood, fondatore e CTO di Silicon:Safe ritiene che la soluzione migliore sia quella di mettere i dati bulk delle password fuori dalla portata di chiunque. In che modo? Inserendoli in database hardware dedicati che consentano solo di memorizzare e confrontare i dati, ma mai di rivelarli: “Questo renderebbe impossibile per chiunque, che si tratti di criminali o amministratori di sistema,  leggere il database delle password o estrarre da esso informazioni”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2