Qualcuno la mette in discussione e la “relega” a servizi di protezione minima. Qualcuno ne riconosce la validità. Opinioni a confronto.
Qualche settimana fa avevamo pubblicato una riflessione, che in
qualche modo metteva in discussione l’autenticazione a due fattori.
Abbiamo
ricevuto un interessante commento in merito da Massimo
Vulpiani, senior consultant in Rsa Security, che volentieri
pubblichiamo.
L’autenticazione a due
fattori è insufficiente? Quanto di più falso!
Alcune recenti riflessioni mettono in discussione
la sicurezza a due fattori, relegandola a livelli di protezione minimi.
Ma è
davvero così? Secondo noi, assolutamente no.
E’ come se qualcuno vi
dicesse che, vivendo in una zona a rischio bellico, non c’è ragione di chiudere
la porta.
Ma a tutte le altre minacce non pensiamo?
Allo stesso modo,
chi sostiene che l’autenticazione a due fattori non serve per proteggere gli
utenti dal furto d’identità non solo fa un’affermazione scorretta ma anche e
soprattutto incautamente disfattista.
Non va infatti dimenticato che
all’esterno esistono dozzine di minacce e non esiste un unico strumento che
possa prevenirle tutte. Ciò non toglie che si debbano adottare tutte le misure
necessarie per proteggersi dalle diverse forme di criminalità informatica che
stanno dilagando negli ultimi mesi.
E proprio l’autenticazione forte a due
fattori si è infatti dimostrata un mezzo altamente efficace per proteggere le
aziende e gli utenti in generale dai molteplici tipi di attacchi informatici
perpetrati quotidianamente da criminali che agiscono ormai in tutto il mondo.
Pur non pretendendo di essere la pietra filosofale della sicurezza,
l’autenticazione forte gioca un ruolo cruciale nella protezione di dati
sensibili e costituisce per questo motivo il requisito essenziale di un sistema
di sicurezza complessivo e a largo raggio, consentendo di attenuare molti tipi
di attacchi e offrendo robuste protezioni alle identità e alle risorse
informatiche.
Abbiamo quotidianamente sotto gli occhi un esempio di
sistema di sicurezza distribuito su larga scala e riconosciuto come
assolutamente valido ed efficace: pensiamo agli sportelli bancomat. Sono basati
su un sistema di autenticazione a due fattori dove si combina l’uso di qualcosa
che si conosce (la password) con qualcosa che si possiede (una carta, nel caso
del bancomat).
Con l’impiego di un token in luogo della carta si possono
ottenere molteplici benefici.
Ad esempio, il fatto che esso generi un codice
utilizzabile una sola volta nell’arco di una finestra temporale minima riduce
ulteriormente gli attacchi di tipo “phishing”, che puntano a raccogliere
informazioni riservate e personali degli utenti per poter poi utilizzare questi
dati per scopi fraudolenti e non autorizzati.
In questo tipo di attacchi, il
cui obiettivo primario è il furto di identità, la password statica è il peggior
nemico dell’utente che voglia difendersi dalla criminalità informatica.
Non va dimenticato, poi, che la fiducia degli utenti è di importanza
fondamentale per contribuire allo sviluppo del commercio elettronico. L’utente,
infatti, ha bisogno di una modalità affidabile che gli consenta di riconoscere
immediatamente quando è sicuro fornire le proprie credenziali ad un’applicazione
software, dandogli altresì la possibilità di verificare facilmente l’autenticità
dell’applicazione stessa.
A questa esigenza deve rispondere chi oggi opera
nel mercato della sicurezza.
Sulla base di queste considerazioni,
quindi, è un’affermazione decisamente sbagliata quella secondo cui
l’autenticazione a due fattori sarebbe inutile perché non consente di
proteggersi da attacchi in tempo reale come possono essere quelli di tipo
“phishing” – sovente definiti di tipo “man-in-the-middle”, ovvero messi a segno
da criminali che allestiscono siti web fittizi che fanno da esca a utenti che
inconsapevolmente inseriscono le loro informazioni personali convinti di essere
su un sito di loro conoscenza.
Ciò non toglie che l’esperienza di
aziende come la nostra viene senza dubbio rafforzata nel momento in cui tutti i
protagonisti della sicurezza si uniscono con l’obiettivo comune di fronteggiare
un preoccupante scenario che va delineandosi e che vede la criminalità
informatica assumere forme sempre più complesse e preoccupanti.
Per
questo motivo, stiamo collaborando con alcuni partner allo scopo di mettere a
punto standard di sicurezza sempre più elevati che permettano di rafforzare le
interfacce di autenticazione e, in particolare, i protocolli per gli scambi con
siti web.
Cerchiamo
quindi di lavorare insieme per poter garantire un commercio elettronico sicuro
indirizzando i nostri attacchi verso coloro che stanno capitalizzando sulle
debolezze della sicurezza attuali, piuttosto che verso coloro che stanno
investendo per consolidarle.
Massimo Vulpiani – Rsa Security
Italia
