Secondo il noto crittologo Bruce Schneier, si tratterebbe di un approccio valido solo per risolvere problemi minimi di sicurezza, non per ottenere garanzie più ampie. In particolare, risulta inefficace per tutelare gli utenti rispetto ai pericoli più recenti, quali il phishing oppure i trojan.
Con il termine "two factor authentication", si indica un metodo di autenticazione che prevede, nell’ordine, il possesso di un elemento "fisico", detto token, e la conoscenza di un’informazione associata a quest’ultimo. L’utilizzo combinato di questi due elementi dà luogo, in pratica, all’unione tra il "Something I have" (qualcosa in mio possesso) e il Something I know" (qualcosa che conosco), in modo da identificare e autenticare con certezza l’utente. Tuttavia, è di recente pubblicazione una serie di articoli, l’ultimo dei quali è a firma del noto crittologo ed esperto di sicurezza Bruce Schneier, che punta l’attenzione su alcune presunte failure del sistema appena menzionato.
Gestione delle keyword
In un editoriale, pubblicato di recente su una nota rivista scientifica americana, Schneier parla di questo sistema di sicurezza come di qualcosa di obsoleto, in quanto utile (fino a prova contraria) per risolvere problematiche vecchie di dieci anni. L’esperto conferma che, almeno fino a poco tempo fa, il problema più importante nel settore dell’information security era quello delle password, semplici da indovinare e, soprattutto, da crackare. Queste, infatti, sono risultate più volte inadeguate, poco robuste e, proprio per questo motivo, facile obiettivo di attacchi più o meno sofisticati.
Successivamente, l’introduzione della "two factor authentication" ha avuto l’obiettivo di mitigare questo problema in quanto, almeno per ciò che riguardava la gestione delle parole chiave, sembrava essere più efficace. Ed ecco che Bruce Schneier rompe le uova nel paniere. Il suo punto di vista, a dire il vero, non è da ritenersi del tutto inaccettabile, in quanto suffragato da numerosi spunti da valutare con attenzione.
Phishing e furto delle identità
Schneier afferma che, per alcuni problemi "minimi" di security, il two factor può ancora rivelarsi valido. Di frequente, infatti, gli utenti trasmettono il proprio profilo via posta elettronica e, pertanto, chiunque può entrare in possesso di credenziali autorizzate e utilizzarle a suo piacimento.
L’autenticazione a due fattori risolve in gran parte questo problema, soprattutto se abbinata all’utilizzo delle one time password (quelle che scadono dopo il primo utilizzo) e di altri accorgimenti similari. Sfortunatamente, la natura degli attacchi è mutata e, pur rimanendo il pericolo delle intercettazioni passive, ci sono delle nuove problematiche legate all’evoluzione di alcune violazioni già esistenti, che lo stesso Schneier indica nel phishing e nei cavallli di Troia.
L’autenticazione a due canali
Il phishing di cui parla Schneier è collegato a quello che lo stesso studioso identifica come un’evoluzione del man-in-the-middle. Quest’ultimo consiste nel dirottare il traffico generato durante la comunicazione tra due host verso un terzo (attaccante).
Durante l’attacco è necessario far credere a entrambi gli end point della comunicazione che l’host attaccante sia, in realtà, un interlocutore legittimo. Nel caso specifico del phishing l’attacker, simulando un sito identico (per esempio a quello di una banca), ne acquisisce le informazioni e le riproduce a sua volta per l’accesso all’istituto di credito reale. In questo modo, specie se l’attacco viene velocizzato da una procedura automatica, anche un sistema del tipo dell’autenticazione a due fattori potrebbe essere superato.
Un altro potenziale pericolo che viene segnalato da Schneier riguarda gli attacchi attraverso i trojan. Una volta che un cavallo di Troia è stato installato su una macchina, l’attacker guadagna il controllo completo sul computer target. Questo significa che può tranquillamente governare la macchina stessa, in maniera trasparente sull’utente finale. Riassumendo: nel primo caso l’attacker aggira il meccanismo di protezione con il man-in-the-middle, mentre nel secondo aspetta che l’utente effettui il login per poi proseguire nell’opera.
Ma il creatore dell’algoritmo di cifratura Blowfish non si ferma agli esempi di tipo generale e fa esplicito riferimento a quello che viene chiamato "two channel authentication". Si tratta di un meccanismo che viene utilizzato da alcune banche negli Stati Uniti (ma è in fase di test anche in Italia), che consiste in uno scambio di messaggi Sms (Short message system) tra il sito della banca e il telefono cellulare dell’utente finale. Basato su un paradigma di tipo challenge/response, la cosa positiva, in questo caso, è che non viene richiesto alcun hardware aggiuntivo rispetto a quello già in possesso dell’utente.
I commenti dei tecnici
Dal punto di vista pratico, comunque, cambia ben poco. Infatti, in entrambi i casi sopra citati, esiste un terzo polo che si fa carico di "completare" la transazione o, in casi alternativi, di aspettare al varco l’utente che effettua il login. Quello che, alla fine, Schneier vuole testimoniare è che, allo stato attuale delle cose, la two factor authentication non è così utile come prima. Rimane ancora un’alternativa valida in numerose applicazioni interne a livello corporate, ma non più su quelle che utilizzano Internet in maniera diffusa. Il rischio di queste ultime è un’esposizione indiscriminata alla frode. Schneier è sempre stato conosciuto come un ottimo provocatore, oltre che per essere un vero tecnico.
I lettori dotati di memoria storica ricorderanno il famoso documento intitolato "Dieci modi per eludere e attaccare le Pki", anch’esso noto per aver mandato in subbuglio un mercato che, in quel momento storico, era in grande espansione. Tuttavia, in questo caso, i commenti non sono del tutto a favore dell’autore del paper, il quale, secondo diversi tecnici, non tiene conto della sofisticazione di alcuni sistemi a due fattori che ridurrebbe davvero di molto il rischio correlato alla prima problematica (phishing).
Mentre per molti vendor, questa illustre opinione risulta essere un’ulteriore prova della necessità di adottare più diffusamente tecnologie biometriche, per altri la soluzione a due fattori risulta ancora essere un mezzo efficace per la prevenzione della maggior parte delle violazioni, sempre che, ovviamente, venga utilizzata da una fascia di utenza ben cosciente dei pericoli correlati al social engineering e alla mancanza di aggiornamento delle piattaforme.
