16th - Mar - 2017

L’autenticazione a due fattori mediante SMS: tuttora la migliore protezione dei servizi online

Graphic of a trophy resting on top of a book next to an apple

I servizi online per aziende e privati, supportati ulteriormente dal cloud, sono oggi estremamente diffusi. Qualsiasi attività online richiede una registrazione iniziale e login successivi ad ogni accesso. La nostra identità (sotto forma di nome utente o indirizzo e-mail e password) ci è richiesta costantemente come porta di accesso a una sempre più ampia varietà di funzioni. Ma oggi tutto diviene facile bersaglio, dai software aziendali ai servizi più critici come l’online banking.

Secondo una recente ricerca di Centrify, oltre il 25% degli utenti inserisce una password online più di 10 volte al giorno (ovvero 3.500-4.000 volte all’anno). D’altra parte, il 42% degli intervistati nel Regno Unito e il 37% negli Stati Uniti afferma di creare più di 50 nuovi profili account all’anno.

L’identità online diventa quindi una vera e propria sfida. Da un lato, vi è la tendenza degli utenti a semplificare il processo usando sempre lo stesso nome utente e password. Ciò favorisce i truffatori che possono accedere a più account con un unico hacking.

Vi è quindi una reale necessità di fornire un livello di sicurezza in più all’autenticazione degli utenti in una miriade di servizi online. Combinando qualcosa che l’utente conosce (come il suo nome utente e password), a qualcosa che possiede (come un cellulare o token fisico), è possibile fornire agli utenti un sistema più sicuro, che non può essere sfruttato facilmente in remoto. Per questo, l’autenticazione a due fattori (2FA) è considerata da anni la risposta ai problemi di accesso online.

Questa autenticazione richiede agli utenti di usare qualcosa che conoscono (come una password) e qualcosa che posseggono (come un telefono cellulare). Dopo aver inserito la password, l’utente riceve un SMS sul proprio cellulare contenente un secondo codice (di solito un numero randomizzato) che dovrà inserire per poter accedere a un determinato servizio.

Gmail di Google, Linkedin, PayPal, Evernote, DropBox e molti altri hanno già integrato l’autenticazione a due fattori come funzione standard.

Questo livello di protezione aggiuntivo è oggi essenziale e il mezzo migliore per attuarlo sembra essere un codice monouso inviato per SMS. Infatti, ben il 20% di tutta la messaggistica A2P (da applicazione a persona) sulla rete CLX usa questo tipo di autenticazione. Istituti di credito, social network e molte altre organizzazioni considerano questo sistema efficace.

Ma nel 2016, l’infallibilità degli SMS per l’autenticazione 2FA è stata messa in dubbio. Il National Institute of Science and Technology (NIST) negli Stati Uniti ha annunciato di aver rilevato delle falle nella tecnologia 2FA per SMS e di voler “deprecare” gli SMS negli standard futuri, a causa dei rischi loro associati.

In particolare, il NIST ha sottolineato che gli hacker possono sfruttare le falle del protocollo SS7 usato dai gestori per abilitare il roaming sulle proprie reti. In alcuni casi molto sofisticati, gli hacker possono far credere alla rete telefonica che un dispositivo è su un’altra rete, intercettando l’SMS inviato per l’autenticazione 2FA.

In teoria questo è possibile, ma riflettendo bene, è evidente che i rischi sono stati ingigantiti. Infatti, le uniche persone che possono sfruttare ripetutamente e su larga scala tale falla del protocollo SS7 sarebbero i dipendenti corrotti di un gestore che opera una rete GSM (l’equivalente di un operatore di Facebook che accede all’account di un utente Facebook).

Molte critiche fatte agli SMS per l’autenticazione 2FA ignorano le reali falle della tecnologia SS7 e portano invece l’esempio della frode per scambio di SIM (in cui un truffatore convince un gestore a fornire una scheda SIM sostitutiva o trasferire un numero a un altro gestore) per dimostrare che gli SMS non dovrebbero essere usati per l’autenticazione 2FA. Anche se queste truffe esistono, non possono essere considerate delle debolezze degli SMS, ma piuttosto delle falle nei processi e controlli aziendali. I gestori di telefonia non sono le uniche aziende vittime di queste lacune. Ci sono molti casi di ingegneria sociale che accedono ai registrar dei nomi di dominio, fornitori di posta elettronica ed account di social media, solo per citare qualche esempio.

La critica contro gli SMS ignora il fatto che sono invece generalmente sicuri e, cosa più importante, che gli utenti sono abituati a usarli perché sono pratici e largamente diffusi.

È importante essere realistici e offrire la migliore sicurezza possibile che le persone sono capaci di fatto a usare. In altre parole, sicurezza e semplicità di utilizzo vanno di pari passo. In conclusione, nella grande maggioranza dei servizi online, gli SMS per l’autenticazione 2FA continuano a essere la migliore opzione disponibile. Guardando alle alternative realistiche agli SMS, come le app TOTP (Time-based One-time Password), è chiaro che chiedere a un utente comune di scaricare un’app diversa per ogni servizio online che utilizza risulta alquanto improponibile. Un’alternativa di questo genere sarebbe come tornare al vecchio sistema di nome utente e password.

Piuttosto che deprecare gli SMS come standard di sicurezza, è importante correggere le vulnerabilità note del protocollo SS7, anziché prevenire l’uso degli SMS per l’autenticazione 2FA. Molti operatori si stanno già adoperando in tal senso, installando firewall SS7 per mitigare questi e altri rischi (quali le strade grigie).

Se da un lato è possibile rimediare alle falle di un sistema, è molto più difficile limitare il rischio che gli utenti cadano in trappola. Infatti, l’ingegneria sociale (e non gli hacking tecnici) è all’origine della maggior parte degli attacchi fraudolenti. I criminali che persuadono l’agente di un call-center di rete a disattivare o trasferire la SIM originale e fornirne una nuova. Oppure i messaggi di testo o le e-mail phishing spoof che inducono l’utente a rivelare i propri dati personali (come informazioni bancarie o password dei sevizi online), fingendosi un marchio a lui ben noto, ad esempio la sua banca. Nella recente ricerca sui consumatori MEF CLX, abbiamo rilevato che il 33% degli utenti mobili hanno ricevuto un messaggio phishing nell’ultimo anno. I gestori devono aumentare i controlli per eradicare completamente questi episodi, in quanto problemi che vanno ben oltre gli SMS e l’autenticazione 2FA.

L’autenticazione a due fattori può ridurre efficacemente questi attacchi, perché rende l’accesso molto più complesso rispetto a un semplice furto di nome utente o password.

Autore: Rob Malcolm, VP Marketing & Online Sales at CLX Communications

Signup for Blog Updates