Autenticazione due fattori
Android > Android&cellulari
La doppia autenticazione (2FA) non sostituisce l’inserimento di nome utente e password, ma aggiunge un secondo codice di accesso, con durata limitata nel tempo e ogni volta differente, generato da un’App (p.e. Google Authenticator), o ricevuto via SMS, Email o altro sistema per completare il login e identificare il vero proprietario dell’account.
“L’agenzia governativa americana (NIST) ha decretato che il sistema di verifica in due step tramite SMS non è sicuro.
I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.”
Esistono dei problemi di sicurezza con il sistema SMS:
- Pensiamo alla clonazione del numero telefonico con ottenimento di una nuova SIM da parte di un cyber criminale. La scheda SIM verrà usata su un altro smartphone e si potrà visualizzare gli SMS che contengono il codice
- Gli SMS con i codici monouso potrebbero essere intercettati.
Quindi l'autenticazione in due passaggi si caratterizza su due elementi: qualcosa che si conosce (nome utente e password dell'account) e qualcosa che si possiede (smartphone).
Il codice aggiuntivo è generato in maniera casuale e ha una durata limitata nel tempo, in genere qualche secondo.
Esistono molte App che ci permettono di generare codici monouso. Alcune semplici altre con opzioni più o meno interessanti. Queste App vanno installate nel nostro smartphone.
Noi abbiamo scelto Google Authenticator perchè meno invadente delle altre.
Se analizziamo altre App, anche famose, viene richiesto la necessità di accedere ai contatti nei permessi da accettare. Perchè? Tale richiesta è necessaria allo scopo della doppia autenticazione?
Abbiamo provato Google Authenticator con
Consideriamo anche i pro e i contro su questa App:
Pro: semplice da usare e senza particolari azioni da fare per configurarla.
Contro: Nessun backup nel cloud. Questo vuol dire che in caso di furto o reset del cellulare bisogna reinstallare l'App e avere i codici di backup per accedere ai vari siti.
Ipotizziamo, in caso di smarrimento o furto, qualche situazione possibile e vi invitiamo a riflettere sulle conseguenze:
Accesso al sito protetto con:
- Computer senza spunta su “non chiedere i codici su questo computer (o secondo passaggio)” con furto computer
- Computer senza spunta su “non chiedere i codici su questo computer” con furto computer e celluare
- Computer senza spunta su “non chiedere i codici su questo computer” con furto cellulare
- Computer con spuntato “non chiedere i codici su questo computer” con furto computer e/o cellulare
- Solo il cellulare: ripetere le ipotesi precedenti e fare le vostre valutazioni
Sarebbe meglio ...
Prendere seriamente in considerazione, in caso di furto, la necessità di denunciare il tutto alle autorità.