La
sicurezza in rete è uno dei problemi con cui si scontrano
ogni giorno aziende e singoli utenti. Specie questi ultimi, che vengono
bombardati dalle e-mail di phishing, ossia le finte e-mail di verifica password
che replicano quelle inviate da servizi web e istituti di credito e cercano così di ottenere i dati di accesso per
account di posta elettronica, social network e simili. Lo scopo è
“rubare” la loro identità digitale
o, nei casi peggiori, accedere ai conti correnti bancari online. Il rischio,
specie se non si conosce il pericolo, è alto e non sono pochi quelli che, inconsapevolmente, hanno
reso note le proprie password convinti di seguire procedure perfettamente
lecite per verificare i propri dati d’accesso
su un sito che replicava, solo esteticamente, il servizio a cui si era
iscritti.
I
servizi di supporto di Apple, Microsoft, Facebook, Google e molti altri si
scontrano con le richieste di utenti che hanno perso i propri account dopo un
furto d’identità del genere. In questo casi è possibile riappropriarsi dei propri
account, ma la violazione della nostra privacy resta e la compromissione di un
account rende potenzialmente insicure le registrazioni anche ad altri servizi.
Quanti, in fondo, usano sempre la stessa password, o comunque password molto
simili fra loro, e il semplice indirizzo di posta elettronica come credenziali
di identificazione per molti servizi online?
Una
soluzione efficace al problema sta nell’aumentare il livello di sicurezza
incrementando gli elementi necessari all’identificazione di un utente, in
parole povere aumentando il numero delle cose da sapere o, come vedremo, da
possedere. È la
strada, ben nota ai più tecnici, della cosiddetta autenticazione a più fattori (o Multi-Factor Authentication,
MFA).
Una vecchia conoscenza
Senza
rendercene conto, ancor prima di entrare in Internet, abbiamo sempre utilizzato
una piattaforma con autenticazione a più fattori. La tessera Bancomat del conto corrente è infatti uno dei sistemi più elementari di autenticazione a più fattori: la carta è equiparabile al nome utente, mentre
il codice PIN è la
password di accesso. Quando il PIN non corrisponde a quello legato alla carta
Bancomat l’autenticazione non va a buon fine.
Discorso simile per le SIM card dei telefoni cellulari, con l’unica differenza che il PIN fornito
dall’operatore telefonico è modificabile dall’utente, che può sceglierne uno differente per
ricordarlo con maggiore facilità.
Questo tipo di autenticazione è definito
Two-Factor Authentication (TFA), in italiano “autenticazione
a due fattori”, e consiste nell’associare a un nome utente una
password di accesso, esattamente come avviene per la maggior parte dei servizi
Internet.
La
MFA non si limita ai due fattori noti, dato che è possibile intervenire aggiungendo uno
o più elementi
per rendere più sicura
l’autenticazione dell’utente. Uno dei più diffusi negli ultimi anni è noto come OTP (One Time Password),
che consiste nella generazione di una password utilizzabile una sola volta in
un lasso di tempo limitato e associata ai due fattori precedenti: nome utente e
password “standard” di accesso.
Nell’uso comune l’OTP
è stata la prima reazione efficace al
costante dilagare delle e-mail fasulle che richiedevano dati d’accesso degli istituti di credito: la
maggior parte delle banche che offrono servizi online si sono dotate di sistemi
di sicurezza avanzati per evitare che, ottenuti i dati d’accesso base del cliente, un utente non autorizzato potesse
operare indisturbato trasferendo denaro verso altri conti correnti.
Alcune
banche propongono una serie di codici numerici prestampati da portare sempre
con sé e
che vengono richiesti, in modo casuale, nel momento in cui vogliamo utilizzare
il vostro conto corrente per eseguire delle operazioni, mentre altre si sono
dotate di generatori di codici digitali (con un pulsante e un piccolo schermo a
cristalli liquidi) che creano una password temporanea ogni 30/60 secondi, da
associare ai dati d’accesso
tradizionali. Una password da usare una sola volta, appunto una One Time Password.
Un
metodo alternativo a quelli descritti è l’invio, a un numero di telefono
cellulare o un indirizzo di posta elettronica precedentemente indicato, di un
SMS o una e-mail contenente la password temporanea da utilizzare per l’accesso al servizio.
La
richiesta di numeri casuali da una serie fornita, l’uso della One Time Password o la ricezione di un codice
temporaneo via SMS ed e-mail, costituiscono una autenticazione a tre fattori
(ma si preferisce usare la più generica sigla MFA)
che rende decisamente più “robusti” i servizi che sfruttano questo tipo di
piattaforme.
L’unico modo in cui un malintenzionato
potrebbe accedere a un servizio che utilizza un’autenticazione a tre fattori è conoscere il relativo nome utente e la password e allo stesso tempo entrare fisicamente
in possesso della scheda con i codici numerici “usa e getta”, del
generatore di password temporanee o del telefono cellulare a cui è stato inviato il codice via SMS.
Nulla è impossibile,
ma questo caso è quantomeno molto improbabile.
Password e servizi Internet
Diamo
ovviamente una grande importanza alla sicurezza nell’uso di una piattaforma di banking online, che deve
garantire la massima protezione delle nostro denaro presente sul conto
corrente, ma per certi versi il rischio che un malintenzionato possa rubare la
nostra “identità
digitale” è altrettanto
importante.
Immaginiamo
che in qualche modo ci vengano sottratti nome utente e password legati a un
forum di discussione. Sembra un danno minimo, magari in quel forum utilizziamo
un nickname che non ci identifica in alcun modo e i dati personali inseriti
sono pochi o nulli: niente informazioni su sesso, data di nascita, luogo in cui
viviamo… Ma
le cose possono cambiare, inavvertitamente o per una forma di pigrizia molto
diffusa, usiamo la stessa password per accedere a più servizi.
La
compromissione dei forum è uno degli sport più praticati dai malintenzionati su Internet, proprio per
scandagliare indirizzi e-mail e, in alcuni casi, riuscire a decifrare le
password di accesso per effettuare un “connection bombing” verso altri servizi: le
piattaforme più vecchie,
infatti, possono usare sistemi di cifratura delle password obsoleti e, al tempo
stesso, presentare una serie di bug nel software tali da facilitare questo tipo
di intromissioni da parte di “cracker” a caccia di identità. Ottenuta la nostra e-mail e una
probabile password, non è escluso che questi malintenzionati scandaglino il web per
verificare se il nome utente (l’e-mail)
e la password consentano l’accesso
ai servizi più usati:
la posta elettronica di Gmail, i social network Facebook e Twitter, piattaforme
di condivisione foto e video (YouTube e Flickr, per esempio), così come tanti altri.
Questo
caso, insieme al già citato
problema del phishing, deve innanzitutto far comprendere agli utilizzatori
della Rete l’importanza
dell’uso di password complesse (mai usare
la propria data di nascita, quella di un parente o un nome proprio, tanto per
cominciare) e soprattutto differenziare la password per i servizi “primari” rispetto a quella dei servizi
secondari. Insomma, mai utilizzare la stessa password per posta elettronica,
home banking e social network specie se poi corrisponde alla stessa che
utilizzate sul forum di discussione dedicato ai gattini che non viene
aggiornato, dal punto di vista software, da quattro anni ed è facilmente violabile.
L‘autenticazione
in due passaggi
Per
garantire la sicurezza dei nostri account sparsi per Internet, soprattutto
quando ci colleghiamo ai principali servizi web usando un computer diverso dal
nostro, è stata
introdotta dai principali operatori del web una nuova e più efficace metodologia di
autenticazione. Basata sempre sulla Multi-Factor Authorization, consiste nell’utilizzo di un ulteriore “step” nell’identificazione dell’utente
ed è condivisa da giganti della tecnologia
come Apple, Google e Microsoft, da popolari piattaforme di social networking
come Facebook e Twitter e anche dal servizio di storage online Dropbox.
Definita
da più parti
come Two-Step Authentication, o verifica in due passaggi, questo approccio ha
molto in comune con quanto descritto in precedenza per i conti correnti bancari
online. Oltre ai tradizionali nome utente e password scelti dall’utente, l’autenticazione in due passaggi introduce un ulteriore
codice che viene richiesto a ogni identificazione o, per rendere la cosa meno
noiosa, soltanto in caso di login da computer diversi da quello abituale. Il
codice proposto è sempre
di tipo numerico, semplice da digitare ma sempre differente.
Dopo
aver attivato l’identificazione
in due passaggi, molti servizi chiedono subito, all’atto
del primo login successivo, di indicare se il computer dal quale ci si sta
connettendo è considerato
“attendibile” o meno. Se sì,
tipicamente se stiamo usando il nostro Mac, di norma si adotta la procedura di
login classica e la password aggiuntiva viene richiesta solo dopo 30 giorni di
inattività dell’account.
Se no, ad esempio perché stiamo usando in quel momento il computer dell’ufficio
o di un albergo, il login prevederà sempre entrambi i passaggi: coppia nome utente con password
e poi codice “one time”.
Il
modo in cui questa chiave aggiuntiva viene generata può variare da servizio a servizio: c’è chi richiede l’inserimento nel profilo utente di un numero di cellulare a
cui inviare un SMS, chi spinge l’installazione
di un’applicazione proprietaria e chi
propone una strada ben diversa, quella di un nodo centrale in cui far
convergere tutti i servizi. Nella maggior parte dei casi la soluzione
SMS-applicazione è comunque
combinata, per offrire una sorta di “backup” a
cui affidarsi qualora una delle due soluzioni non sia al momento disponibile.
Cosa fa Google
Nella
nostra analisi delle varie implementazioni della MFA iniziamo con Google per
due motivi: è stato
il primo dei giganti del web a offrire l’identificazione
in due passaggi e ha realizzato un’applicazione
dedicata alla gestione di One Time Password che può essere utilizzata per più servizi contemporaneamente.
Da un unico profilo un utente Google può
accedere a una moltitudine di servizi che variano dalla posta elettronica alle
suite di produttività Docs,
dal social network Google+
ai servizi Webmaster Tools, senza dimenticare lo storico delle ricerche sul
web, i punti di interesse registrati su Maps e i file pubblicati su Drive. Per
questo Google ha deciso di offrire una soluzione efficace e al tempo stesso
semplice per mantenere al sicuro i propri dati.
Accedendo
alle impostazioni del proprio profilo, cliccando sulla propria foto se presente
(o comunque sulla faccina azzurra in alto a destra dopo esserci identificati in
uno dei servizi di Google) e selezionando la voce Account, dalla sezione Sicurezza è possibile abilitare la Verifica in due passaggi. A
questo punto Google propone l’installazione
della sua applicazione Authenticator disponibile per iPhone, iPad, smartphone e
tablet Android o dispositivi BlackBerry. Una semplice procedura guidata associa
il nostro account all’applicazione sul nostro dispositivo
mobile (è possibile
farlo con un solo dispositivo) e in questo modo otteniamo una One Time Password
univoca che si aggiornerà ogni
60 secondi e potrà essere
utilizzata soltanto in quel lasso di tempo.
Più in dettaglio, il sistema ci fornisce
una “chiave” sotto forma di codice a barre bidimensionale QR-Code, da
inquadrare con la
fotocamera del nostro dispositivo. Questa chiave viene usata dall’algoritmo
standard TOTP (Time-based One
Time Password) per generare password utilizzabili soltanto una volta quando
vogliamo identificarci via web a uno dei servizi di Google. Per ovvi motivi di
sicurezza, il sistema prevede che si attiva una sola applicazione generatrice
di codici.
E
se il nostro dispositivo si guasta o si scarica e quindi l’applicazione
non è disponibile?
Le alternative previste sono due: una serie di dieci codici monouso da stampare
e portare sempre con sé (ogni codice della lista diventa inutilizzabile una volta
usato, ma è possibile
generare una nuova serie in qualsiasi momento) e l’invio di un SMS a un numero di telefono di backup. “Di
backup” significa che non dev’essere quello principale in cui si trova
l’applicazione,
altrimenti se si guasta o si scarica questo non potremo accedere né l’applicazione
né al messaggio SMS con la password. A
meno di non complicare un po’ le cose e spostare la SIM dal telefono che non funziona a
un altro.
L’autenticazione in due passaggi di
Google è ovviamente
più complessa di come l’abbiamo
descritta, ma nell’uso
pratico è tutto
sommato semplice ed efficace, dopo una prima fase di setup.
Per
le applicazioni che accedono direttamente ai servizi di Google senza passare
per l’interfaccia web – ad esempio Mail, se lo usiamo per collegarci ai server
della posta elettronica di Gmail
– è necessario richiedere una password dedicata per ogni
istanza dell’applicazione. Quindi non genericamente per “la posta
di Gmail scaricata da Mail” ma per “la posta di Gmail scaricata da
Mail sul Mac A”, “la posta di Gmail scaricata da Mail sul Mac B”
e via dicendo. Sempre dalla pagina da cui si gestisce l’autenticazione in due passaggi possiamo richiedere delle
password specifiche per singola applicazione, a cui dovremo associare una
descrizione per distinguerle fra loro. Una delle conseguenze di questa
distinzione è che
le password possono anche essere revocate singolarmente: se ci viene rubato il
Mac portatile, ad esempio, possiamo eliminare con un clic la sua chiave d’accesso e da quel computer non si potrà più scaricare o inviare posta via Gmail,
mentre per gli eventuali altri nostri Mac non cambierà nulla.
Queste
password differiscono dall’associazione
tra nome utente, chiave tradizionale e OTP richiesta per i servizi web, e non
hanno una scadenza, deve essere l’utente
stesso a eliminarle. Una password di questo genere non è nemmeno riproducibile: una volta
generata e usata non sarà possibile
leggerla nuovamente, neanche dallo stesso pannello offerto da Google. Sempre
restando nell’ambito del nostro esempio sulla posta di Gmail, se
inavvertitamente cancelliamo la password da
Mail dovremo generarne una nuova e iniziare a usare quella.
Tutti gli altri
Buona
parte dei principi adottati da Google li troviamo anche nelle iniziative
proposte dalle altre piattaforme che abbiamo considerato, a partire da quelle
Microsoft. Per rendere più sicuro uno dei suoi principali servizi, ovvero la posta
elettronica di Hotmail (adesso nota come Outlook), Microsoft ha introdotto l’autenticazione in due passaggi anche
all’interno dei profili dei suoi utenti. Il
funzionamento è esattamente
quello offerto da Google: associazione del profilo a un dispositivo esterno o a
un numero di telefono, insieme alle password per applicazione.
Se
dobbiamo accedere a Hotmail/Outlook o a un profilo Office365 dopo aver
abilitato l’autenticazione in due passaggi, ci
vengono richiesti i tre fattori d’accesso:
il tradizionale nome utente, la password e la chiave univoca (OTP) fornita dall’applicazione per smartphone, via SMS
o via e-mail (a un indirizzo secondario). Se invece dobbiamo autorizzare un’applicazione
o persino un nuovo dispositivo, come una Xbox 360 per accedere ai servizi Xbox
Live, dovremo generare dal nostro profilo web una Password per Applicazione.
Particolare da non sottovalutare, Microsoft utilizza lo standard TOTP
esattamente come Google ed è possibile utilizzare la stessa applicazione Google
Authenticator, opportunamente configurata, anche per generare una password
temporanea per il mondo Microsoft.
Facebook,
dal canto suo, ha preferito un approccio più chiuso pur adottando lo stesso
standard TOTP: abilitando il Generatore di Codici nell’area Protezione delle Impostazioni
account del social
network potremo associare l’applicazione
installata sul nostro iPhone per ottenere una One Time Password nel momento in
cui ci identificheremo
a Facebook da un computer non verificato. Tecnicamente sarebbe possibile
associare anche Facebook a Google Authenticator, però dopo svariati tentativi ci siamo resi
conto che è più semplice usare l’applicazione
ufficiale per iOS e smartphone Android. L’associazione con Authenticator non è infatti andata a buon fine.
Anche
Facebook offre la possibilità di
generare password specifiche per singola applicazione, per evitare di
condividere la chiave d’accesso
ufficiale, ma offre questa soluzione come alternativa. A differenza di altri,
infine, Facebook almeno per il momento non prevede l’invio di una password temporanea via SMS qualora in nostro smartphone (o qualsiasi altro dispositivo) non
sia in grado di generare un codice.
Twitter offre il metodo più semplice per attivare la doppia autenticazione. Il primo
passo va fatto direttamente dall’applicazione
ufficiale iOS. Portandoci in Account, selezionando l’ingranaggio
e raggiungendo poi le Impostazioni dovremo entrare nella sezione Sicurezza
e abilitare la Verifica dell‘accesso.
Fatto questo possiamo confermare la selezione via web, dopo
esserci identificati con la OTP generata, e utilizzare la password temporanea a
ogni successivo accesso anche da computer non sicuri. Come Google e Microsoft,
anche Twitter permette di associare un numero di telefono cellulare da usare
come backup per l’invio
di una password temporanea in assenza di connessione dati o se il nostro
smartphone è fuori
uso. È anche
possibile generare un codice di riserva, da conservare gelosamente al di fuori
del dispositivo, in caso di necessità.
Per
Dropbox il funzionamento è analogo a quanto
abbiamo descritto sinora e sfrutta esclusivamente il canale di autenticazione
TOTP o via e-mail secondaria, risultando compatibile con Google Authenticator e
con altre applicazioni simili. Anche in questo caso per l’attivazione è necessario raggiungere la sezione Sicurezza delle Impostazioni
del nostro account Dropbox,
direttamente dal sito web, ed è possibile associare un numero di telefono per l’invio di un codice via SMS in assenza
di connessione a Internet.
Infine,
Apple. Che abbiamo lasciato per ultima per un motivo molto semplice: il
servizio di autenticazione con verifica in due passaggi esiste anche per
Cupertino, funziona ma… non in
Italia. Per utilizzare questa funzione Apple mette a disposizione
l’applicazione Trova il mio iPhone, che
diventa un generatore di OTP, e un servizio di invio di codici temporanei via
SMS. Sfortunatamente al momento in cui scriviamo la verifica in due passaggi è disponibile solo in USA, Gran
Bretagna, Australia, Irlanda e Nuova Zelanda. La stessa Apple avverte che
verranno aggiunti altri Paesi in un secondo momento, anche se non è dato sapere quando. In ogni caso il
servizio sarà utilizzabile
quando all’interno della sezione Password e
sicurezza della pagina Il mio ID Apple (appleid.apple.com)
del sito ufficiale troveremo l’opzione
relativa.
