Possiamo davvero dormire su due guanciali con la cosiddetta doppia sicurezza dei codici temporanei Otp? Ne siamo certi?
Le password da sole non sono sicure: questa non è una novità. Tanto è vero che, per rendere più difficile per gli aggressori l’accesso agli account tramite password, è importante oggi utilizzare fattori di autenticazione secondari, come le password monouso (codici Otp).
La maggior parte dei servizi home-banking ci garantisce oggi un doppio sistema di sicurezza.
Indice dei contenuti
Ci richiede, per avere accesso al nostro account, da una parte, di registrare una password che non può essere semplice, ma dotata almeno di un percorso alfa numerico, e che va cambiata rigorosamente ogni sei mesi.
Dall’altra, ad ogni accesso, ci invia un codice temporaneo numerico, chiamato Otp, una sorta di codice usa e getta, che arriva direttamente sul nostro smartphone, al numero che è collegato per contratto al nostro acconto bancario.
Tutto questo può davvero farci dormire sonni tranquilli? I nostri risparmi godono davvero di una sicurezza inviolabile?
Le aziende del resto vivono nel terrore e i fatti parlano chiaro. Ricordi il caso Ndivia?
Aggiungendo un maggiore livello di sicurezza tra gli aggressori e gli account, le OTP offrono una maggiore protezione e sono un aggiornamento dall’autenticazione solo tramite password. Ma non sono una soluzione completa al problema.
“Le OTP possono essere sconfitte? Sì”, ha affermato Merritt Maxim, vicepresidente e direttore della ricerca presso Forrester Research. “Ma sono un livello aggiuntivo. Anche se gli hacker, però, se trovano un sistema che utilizza solo password rispetto a uno con password e OTP, è più probabile che prendano di mira il primo perché si trova in una condizione di maggiore vulnerabilità. In ogni caso è palese che i rischi sono sempre all’ordine del giorno.
Uno dei primi OTP ad entrare nel mercato è stato un dongle con un generatore di numeri casuali (RNG). Mostrava lo stesso numero di un dispositivo principale alloggiato nella sala server dell’azienda. Sfortunatamente, questi dispositivi erano costosi.
Un’opzione meno costosa, soprattutto con l’avanzata tecnologia, era che le aziende sfruttassero gli smartphone che tutti avevano già con sé, ha affermato Jack Poller, analista di Enterprise Strategy Group, una divisione di TechTarget. Le OTP hanno quindi iniziato ad apparire in diverse forme, le più comuni sono i codici di accesso inviati tramite SMS, e-mail o telefonate.
Sebbene la loro sicurezza non fosse perfetta, le OTP hanno consentito alle aziende di superare un grave problema di autenticazione.
Hanno permesso di migliorare la sicurezza senza influire negativamente sull’esperienza utente. L’aumento dei requisiti di sicurezza che introducono attriti potrebbe comportare la perdita di clienti e affari.
L’uso universale di OTP, tuttavia, è ostacolato perché non tutti hanno accesso alla stessa tecnologia.
I problemi diventano i costi e le disponibilità dei dipendenti.
Che tipo di tecnologia OTP può permettersi un’azienda? L’acquisto di chiavi hardware per ogni dipendente non è certo economico. E i dipendenti utilizzeranno i propri dispositivi per lavoro? Molti potrebbero esitare a installare app di autenticazione sui propri dispositivi personali.
Eppure non è finita qui. Alcuni esperti ricercatori informatici italiani hanno dimostrato qualche mese fa, con una tesi accurata, supportata da prove tangibili, che anche i codici Otp hanno la loro discreta vulnerabilità. Della serie nulla al mondo è davvero inviolabile.
Un gruppo di studiosi di casa nostra, composto da Franco Tommasi, Christian Catalano e Ivan Taurino, hanno dimostrato che nel mondo degli hacker esiste, da oltre un anno, una forma di attacco in grado, senza alcun problema, di “scardinare queste porte chiuse a doppia mandata”.
Si chiama Browser-in-the-Middle (BitM) ed è un sistema che consente proprio di eludere in modo efficace l’autenticazione a due fattori. Da allora, i nostri esperti, si sono premuniti di avvisare tutte le aziende internazionali quali Mozilla, Google e Apple, ma pare che fin ora poco o nulla sia stato fatto per arginare le forme di aggressione BitM.
Sebbene il pericolo di attacchi OTP non sia nuovo, è improbabile che le aziende abbandonino le OTP in tempi brevi.
UK Finance, per esempio, da tempo chiede di deprecare gli SMS ma ha ammesso che al momento non ci sono alternative adatte. Negli Stati Uniti molti esperti hanno suggerito di deprecare gli SMS OTP più di cinque anni fa, ma rimangono comunque in uso ogni giorno.
La tecnologia ti aiuta a risparmiare sulla bolletta grazie ad una semplice e intuitiva app:…
Si può guadagnare con Bitcoin investendo solo piccole somme di denaro? Tutta la verità dietro…
Alcuni contribuenti riceveranno un accredito sul conto corrente da parte dell'Agenzia delle Entrate: ecco come…
Dal prossimo anno milioni gli cittadini saranno costretti a dover scegliere un nuovo operatore per…
I mutui per la casa sono sempre più alti e la differenza tra le regioni…
È possibile vedere MasterChef Italia 2023 in streaming e ora sarà ancora più economico grazie…