Secondo il noto crittologo Bruce Schneier, si tratterebbe di un approccio valido solo per risolvere problemi minimi di sicurezza, non per ottenere garanzie più ampie. In particolare, risulta inefficace per tutelare gli utenti rispetto ai pericoli più recenti, quali il phishing oppure i trojan.
Con il termine "two factor authentication", si indica un metodo di autenticazione che prevede, nellordine, il possesso di un elemento "fisico", detto token, e la conoscenza di uninformazione associata a questultimo. Lutilizzo combinato di questi due elementi dà luogo, in pratica, allunione tra il "Something I have" (qualcosa in mio possesso) e il Something I know" (qualcosa che conosco), in modo da identificare e autenticare con certezza lutente. Tuttavia, è di recente pubblicazione una serie di articoli, lultimo dei quali è a firma del noto crittologo ed esperto di sicurezza Bruce Schneier, che punta lattenzione su alcune presunte failure del sistema appena menzionato.
Gestione delle keyword
In un editoriale, pubblicato di recente su una nota rivista scientifica americana, Schneier parla di questo sistema di sicurezza come di qualcosa di obsoleto, in quanto utile (fino a prova contraria) per risolvere problematiche vecchie di dieci anni. Lesperto conferma che, almeno fino a poco tempo fa, il problema più importante nel settore dellinformation security era quello delle password, semplici da indovinare e, soprattutto, da crackare. Queste, infatti, sono risultate più volte inadeguate, poco robuste e, proprio per questo motivo, facile obiettivo di attacchi più o meno sofisticati.
Successivamente, lintroduzione della "two factor authentication" ha avuto lobiettivo di mitigare questo problema in quanto, almeno per ciò che riguardava la gestione delle parole chiave, sembrava essere più efficace. Ed ecco che Bruce Schneier rompe le uova nel paniere. Il suo punto di vista, a dire il vero, non è da ritenersi del tutto inaccettabile, in quanto suffragato da numerosi spunti da valutare con attenzione.
Phishing e furto delle identità
Schneier afferma che, per alcuni problemi "minimi" di security, il two factor può ancora rivelarsi valido. Di frequente, infatti, gli utenti trasmettono il proprio profilo via posta elettronica e, pertanto, chiunque può entrare in possesso di credenziali autorizzate e utilizzarle a suo piacimento.
Lautenticazione a due fattori risolve in gran parte questo problema, soprattutto se abbinata allutilizzo delle one time password (quelle che scadono dopo il primo utilizzo) e di altri accorgimenti similari. Sfortunatamente, la natura degli attacchi è mutata e, pur rimanendo il pericolo delle intercettazioni passive, ci sono delle nuove problematiche legate allevoluzione di alcune violazioni già esistenti, che lo stesso Schneier indica nel phishing e nei cavallli di Troia.
Lautenticazione a due canali
Il phishing di cui parla Schneier è collegato a quello che lo stesso studioso identifica come unevoluzione del man-in-the-middle. Questultimo consiste nel dirottare il traffico generato durante la comunicazione tra due host verso un terzo (attaccante).
Durante lattacco è necessario far credere a entrambi gli end point della comunicazione che lhost attaccante sia, in realtà, un interlocutore legittimo. Nel caso specifico del phishing lattacker, simulando un sito identico (per esempio a quello di una banca), ne acquisisce le informazioni e le riproduce a sua volta per laccesso allistituto di credito reale. In questo modo, specie se lattacco viene velocizzato da una procedura automatica, anche un sistema del tipo dellautenticazione a due fattori potrebbe essere superato.
Un altro potenziale pericolo che viene segnalato da Schneier riguarda gli attacchi attraverso i trojan. Una volta che un cavallo di Troia è stato installato su una macchina, lattacker guadagna il controllo completo sul computer target. Questo significa che può tranquillamente governare la macchina stessa, in maniera trasparente sullutente finale. Riassumendo: nel primo caso lattacker aggira il meccanismo di protezione con il man-in-the-middle, mentre nel secondo aspetta che lutente effettui il login per poi proseguire nellopera.
Ma il creatore dellalgoritmo di cifratura Blowfish non si ferma agli esempi di tipo generale e fa esplicito riferimento a quello che viene chiamato "two channel authentication". Si tratta di un meccanismo che viene utilizzato da alcune banche negli Stati Uniti (ma è in fase di test anche in Italia), che consiste in uno scambio di messaggi Sms (Short message system) tra il sito della banca e il telefono cellulare dellutente finale. Basato su un paradigma di tipo challenge/response, la cosa positiva, in questo caso, è che non viene richiesto alcun hardware aggiuntivo rispetto a quello già in possesso dellutente.
I commenti dei tecnici
Dal punto di vista pratico, comunque, cambia ben poco. Infatti, in entrambi i casi sopra citati, esiste un terzo polo che si fa carico di "completare" la transazione o, in casi alternativi, di aspettare al varco lutente che effettua il login. Quello che, alla fine, Schneier vuole testimoniare è che, allo stato attuale delle cose, la two factor authentication non è così utile come prima. Rimane ancora unalternativa valida in numerose applicazioni interne a livello corporate, ma non più su quelle che utilizzano Internet in maniera diffusa. Il rischio di queste ultime è unesposizione indiscriminata alla frode. Schneier è sempre stato conosciuto come un ottimo provocatore, oltre che per essere un vero tecnico.
I lettori dotati di memoria storica ricorderanno il famoso documento intitolato "Dieci modi per eludere e attaccare le Pki", anchesso noto per aver mandato in subbuglio un mercato che, in quel momento storico, era in grande espansione. Tuttavia, in questo caso, i commenti non sono del tutto a favore dellautore del paper, il quale, secondo diversi tecnici, non tiene conto della sofisticazione di alcuni sistemi a due fattori che ridurrebbe davvero di molto il rischio correlato alla prima problematica (phishing).
Mentre per molti vendor, questa illustre opinione risulta essere unulteriore prova della necessità di adottare più diffusamente tecnologie biometriche, per altri la soluzione a due fattori risulta ancora essere un mezzo efficace per la prevenzione della maggior parte delle violazioni, sempre che, ovviamente, venga utilizzata da una fascia di utenza ben cosciente dei pericoli correlati al social engineering e alla mancanza di aggiornamento delle piattaforme.