Possiamo davvero dormire su due guanciali con la cosiddetta doppia sicurezza dei codici temporanei Otp? Ne siamo certi?
Le password da sole non sono sicure: questa non è una novità. Tanto è vero che, per rendere più difficile per gli aggressori l’accesso agli account tramite password, è importante oggi utilizzare fattori di autenticazione secondari, come le password monouso (codici Otp).
La maggior parte dei servizi home-banking ci garantisce oggi un doppio sistema di sicurezza.
Indice dei contenuti
Codici Otp + Password alfanumeriche: la chiusura a doppia mandata ci fa davvero dormire sonni tranquilli?
Ci richiede, per avere accesso al nostro account, da una parte, di registrare una password che non può essere semplice, ma dotata almeno di un percorso alfa numerico, e che va cambiata rigorosamente ogni sei mesi.
La realtà dei codici temporanei Otp oggi
Dall’altra, ad ogni accesso, ci invia un codice temporaneo numerico, chiamato Otp, una sorta di codice usa e getta, che arriva direttamente sul nostro smartphone, al numero che è collegato per contratto al nostro acconto bancario.
Tutto questo può davvero farci dormire sonni tranquilli? I nostri risparmi godono davvero di una sicurezza inviolabile?
Le aziende del resto vivono nel terrore e i fatti parlano chiaro. Ricordi il caso Ndivia?
Le diverse correnti di pensieri sulle password monouso
Aggiungendo un maggiore livello di sicurezza tra gli aggressori e gli account, le OTP offrono una maggiore protezione e sono un aggiornamento dall’autenticazione solo tramite password. Ma non sono una soluzione completa al problema.
Negli Usa da anni qualcuno le considera già superate
“Le OTP possono essere sconfitte? Sì”, ha affermato Merritt Maxim, vicepresidente e direttore della ricerca presso Forrester Research. “Ma sono un livello aggiuntivo. Anche se gli hacker, però, se trovano un sistema che utilizza solo password rispetto a uno con password e OTP, è più probabile che prendano di mira il primo perché si trova in una condizione di maggiore vulnerabilità. In ogni caso è palese che i rischi sono sempre all’ordine del giorno.
L’evoluzione delle OTP e il problema dei costi
Uno dei primi OTP ad entrare nel mercato è stato un dongle con un generatore di numeri casuali (RNG). Mostrava lo stesso numero di un dispositivo principale alloggiato nella sala server dell’azienda. Sfortunatamente, questi dispositivi erano costosi.
Luci e ombre
Un’opzione meno costosa, soprattutto con l’avanzata tecnologia, era che le aziende sfruttassero gli smartphone che tutti avevano già con sé, ha affermato Jack Poller, analista di Enterprise Strategy Group, una divisione di TechTarget. Le OTP hanno quindi iniziato ad apparire in diverse forme, le più comuni sono i codici di accesso inviati tramite SMS, e-mail o telefonate.
Sebbene la loro sicurezza non fosse perfetta, le OTP hanno consentito alle aziende di superare un grave problema di autenticazione.
Gli otp hanno migliorato la sicurezza ma questo oggi ci basta?
Hanno permesso di migliorare la sicurezza senza influire negativamente sull’esperienza utente. L’aumento dei requisiti di sicurezza che introducono attriti potrebbe comportare la perdita di clienti e affari.
L’uso universale di OTP, tuttavia, è ostacolato perché non tutti hanno accesso alla stessa tecnologia.
I problemi diventano i costi e le disponibilità dei dipendenti.
Che tipo di tecnologia OTP può permettersi un’azienda? L’acquisto di chiavi hardware per ogni dipendente non è certo economico. E i dipendenti utilizzeranno i propri dispositivi per lavoro? Molti potrebbero esitare a installare app di autenticazione sui propri dispositivi personali.
La preoccupante tesi di alcuni esperti italiani
Eppure non è finita qui. Alcuni esperti ricercatori informatici italiani hanno dimostrato qualche mese fa, con una tesi accurata, supportata da prove tangibili, che anche i codici Otp hanno la loro discreta vulnerabilità. Della serie nulla al mondo è davvero inviolabile.
Un gruppo di studiosi di casa nostra, composto da Franco Tommasi, Christian Catalano e Ivan Taurino, hanno dimostrato che nel mondo degli hacker esiste, da oltre un anno, una forma di attacco in grado, senza alcun problema, di “scardinare queste porte chiuse a doppia mandata”.
L’attacco hacker BitM
Si chiama Browser-in-the-Middle (BitM) ed è un sistema che consente proprio di eludere in modo efficace l’autenticazione a due fattori. Da allora, i nostri esperti, si sono premuniti di avvisare tutte le aziende internazionali quali Mozilla, Google e Apple, ma pare che fin ora poco o nulla sia stato fatto per arginare le forme di aggressione BitM.
Come migliorare le OTP
Sebbene il pericolo di attacchi OTP non sia nuovo, è improbabile che le aziende abbandonino le OTP in tempi brevi.
UK Finance, per esempio, da tempo chiede di deprecare gli SMS ma ha ammesso che al momento non ci sono alternative adatte. Negli Stati Uniti molti esperti hanno suggerito di deprecare gli SMS OTP più di cinque anni fa, ma rimangono comunque in uso ogni giorno.