Privacy, l’importanza dell’autenticazione a due fattori

Two Factor Auth.
Two Factor Auth.
Di
Pubblicato il: 12/08/2015
Commenti Commenta | Permalink

Le recenti scoperte sulle onnipresenti falle del sistema operativo Android riportano alla luce il problema della fuga dei dati. Con un semplice accorgimento è possibile iniziare a mettere un po’ più al sicuro alcuni dei servizi che usiamo ogni giorno.

Roma – Sembra che emergano piuttosto spesso delle novità, a partire dalla conferenza Black Hat USA 2015, riguardo le ultime minacce che possono colpire il sistema operativo di casa Google. L’allarmismo si è diffuso a macchia d’olio in rete, per paura di fughe di dati, furti di identità e di credenziali per conti bancari e strumenti di messaggistica vari. Ma se si potesse prevenire il male, invece di curarlo?

Le ultime falle scoperte in ordine di tempo, studiate per colpire il robottino verde presente nei più diffusi tablet e smartphone, sono Stagefright e Certifi-gate. Entrambe sembra che possano agire senza particolari interventi da parte dell’utente, comunque spiegazioni più approfondite sono circolate ovunque in questi ultimi giorni.

Un’altra voce circolata insistentemente è quella riguardante la prontezza delle case produttrici di portare rimedio a queste falle, spingendo per l’idea che d’ora in poi saranno rilasciati aggiornamenti a cadenza ravvicinata, per motivi di sicurezza.

Tralasciamo il fatto che le falle scoperte vadano a colpire Android a partire da Froyo (2.2), e che tutti quei dispositivi che lo hanno in dote sono stati abbandonati dalle stesse case pochi mesi dopo il rilascio. Resta assurdo pensare che ai colossi che ben conosciamo ora convenga supportare per anni dei dispositivi destinati all’obsolescenza, mettendo magari freno all’incessante produzione degli ultimi anni.

Non dimentichiamo che, per non cestinare i propri dispositivi dopo un certo numero di anni, l’unica soluzione è quella di fare affidamento al c.d. “modding”, che vanta comunità attive in ogni parte del mondo e per quasi tutti i dispositivi che conosciamo.

Perciò, guardando in faccia la realtà, bisogna prendere coscienza del fatto che non possiamo fare davvero affidamento sulle case produttrici per tutelare la nostra privacy, ma dobbbiamo adottare dei mezzi efficaci che possano farci stare più tranquilli durante avvenimenti come quelli degli ultimi giorni.

Il secondo fattore di autenticazione (2FA) fa al caso nostro. Esso è uno strumento nato nei primi anni ’80, inizialmente usato in ambito bancario: per prelevare del denaro da un ATM non si utilizza solo la carta magnetica, comunque indispensabile, ma anche il codice PIN noto solo al possessore della carta. Ora le stesse banche forniscono agli utenti, possessori della funzione di “internet banking”, una chiavetta che genera codici da inserire in aggiunta alla password.

Ovviamente il sistema è stato presto adottato in ambito informatico, anche se si è dovuto attendere oltre il 2010 perché i colossi come Google, Yahoo e MSN lo mettessero a disposizione per i loro servizi, soprattutto di messaggistica.

In pratica: dopo aver digitato i soliti nome utente/indirizzo email e password per eseguire l’accesso alla propria email, piuttosto che al proprio conto in BitCoin o qualsiasi altro servizio, verrà richiesto un secondo codice, OTP (One Time Password), (ri)generato dopo un certo numero di secondi da una applicazione (scelta e installata nel dispositivo dell’utente). Tutto ciò per convalidare ulteriormente l’accesso, in modo che i soli primi due parametri, anche se carpiti da un malintenzionato, non bastino per avere accesso ai nostri dati.

Attualmente sono molti di più i provider che hanno deciso di adottare il 2FA (è possibile trovare una lista abbastanza completa qui), ma pochi lo pubblicizzano a dovere e i motivi sono semplici. Innazitutto non vi è un comune accordo su quale applicazione andrebbe usata dagli utenti per autenticarsi.

Google e Microsoft offrono le loro applicazioni abbastanza diffuse e poi vengono tutte quelle sviluppate da terze parti. Noi consigliamo di prendere visione delle applicazioni Authy e FreeOTP. In particolare la prima, disponibile sia per dispositivi mobili (anche indossabili, come gli smartwatch) che fissi, offre la possibilità di abilitare e disabilitare dispositivi differenti in un unico account. Per fare questo, i dati dell’utente sono salvati nei server della società, interamente cifrati. FreeOTP è un’alternativa più semplice invece ed è open source, il che è sicuramente un pregio.

Il secondo motivo, ma non meno importante è il fatto che gli utenti sono pigri e la procedura per impostare il 2FA non è una passeggiata per chi non l’ha mai nemmeno sentito nominare.

Tutto ciò che possiamo fare quindi è invitare i nostri lettori ad informarsi su questa funzione e ad adottarla quanto prima. Per quanto poco, un livello di sicurezza in più non può che fare del bene alla nostra vita online.


Riccardo Donini (24 articoli)

Amante della tecnologia, in particolare crittografia e sicurezza. Attento alla discrezione, schivo del frastuono della Rete.


Abbiamo parlato di:
, , ,

Commenti (Facebook)
Commenti (locali)




Nota: La moderazione in uso potrebbe ritardare la pubblicazione del commento. Non è necessario reinviarlo.