Differenza tra Autenticazione basic e Autenticazione a 2 fattori

Form/Basic Authentication

La più semplice tecnologia di autenticazione (Autenticazione basic) volta ad identificare un utente consiste nell’inserimento delle credenziali al momento della richiesta di accesso. La presentazione delle credenziali è interattiva e viene ripetuta ogni volta che si tenta di accedere ad una nuova risorsa.

La sicurezza del meccanismo è direttamente dipendente dalla modalità di interazione e alla complessità della password, se il canale di trasmissione dei dati non è opportunamente protetto (ad esempio via SSL per la pagina web di un sito) le credenziali sono compromesse. Inoltre all’aumentare del numero delle risorse il processo di autenticazione diventa tedioso per l’utente anche per la necessità di usare password lunghe e complesse.
Il controllo delle credenziali dipende dal servizio che implementa la richiesta, può essere effettuato in qualsiasi modo (da un semplice elenco in un file di testo ad un web service remoto).

Autenticazione a 2 fattori

L’autenticazione a 2 fattori (2FA o MFA) è la tecnica di unione di due elementi che permettono di riconoscere un’identità digitale, in modo da garantire una maggior sicurezza di riconoscimento del titolare del le credenziali.

Uno degli esempi più noti è il sistema di autenticazione utilizzato dalle banche per le funzioni di home banking. Spesso questa funzione richiede l’autenticazione con credenziali (Something You Know), con l’aggiunta di un elemento ulteriore fornito da un oggetto fisico (Something You Have), come:

1. un token di autenticazione;
2. un codice recuperato da una grid card;
3. un telefono (con un SMS o una chiamata vocale);
4. uno smartphone (con un’applicazione per dispositivi mobili o un secondo indirizzo email a cui inviare un codice).

Questa tecnica se correttamente realizzata permette di migliorare sensibilmente la sicurezza dell’identità digitale di un utente, a fronte di una complicazione trascurabile, assicurando che le sole credenziali non siano sufficienti ad usare l’identità, garantendo un maggiore controllo al titolare.

È una soluzione offerta sempre più frequentemente dai grandi fornitori di servizi online perché da un lato i problemi di sicurezza delle identità sono sempre di più fonte di seri grattacapi, dall’altro lato grazie all’introduzione delle applicazioni per smartphone è diventato più semplice ed economico distribuire un secondo fattore.

Perché un servizio di secondo fattore sia efficace il primo requisito è che sia effettivamente utilizzato dagli utenti. Sebbene qualche servizio (soprattutto bancario) obblighi gli utenti ad usarlo per ogni operazione, l’esperienza può diventare frustrante e non è plausibile pensare di estendere questo modello a servizi meno critici.

Come per ogni soluzione di sicurezza è necessario raggiungere un compromesso tra esigenze tecniche e qualità del servizio percepito da parte degli utenti. Diverse soluzioni, che saranno passate in rassegna nelle prossime sezioni, hanno già fatto progressi significativi in quest’ambito, rendendo molto più sicure le tradizionali credenziali senza intralciare troppo l’esperienza degli utenti.

Non è un rimedio universale per tutti i mali, violazioni informatiche sono ancora possibili con attacchi mirati al portale di autenticazione, soprattutto con alcuni tipi di secondo fattore. In particolare si può distinguere tra due tipologie:

1. in-band authentication: modalità per cui l’inserimento del secondo fattore avviene tramite la stessa comunicazione con cui si inserisce il primo fattore;
2. out-of-band authentication: modalità per cui l’inserimento del secondo fattore avviene tramite una comunicazione distinta da quella con la quale si è inserito il primo.

Se il sistema di autenticazione usa l’in-band authentication è teoricamente possibile, per un malintenzionato molto motivato, stabilire un Man-In-Middle-Attack tra l’utente che si sta autenticando e il servizio online con un malware oppure attraverso un portale di phishing.
In queste condizioni il malintenzionato che controlla il malware o il portale di phishing è in grado di intercettare sia le credenziali sia il codice aggiuntivo inserito dall’utente, potendo disporre così dei privilegi liberamente. L’unica consolazione rimane nel fatto che l’attività illecita deve essere effettuata in concomitanza di un accesso lecito da parte dell’utente, rendendo più difficile lo sfruttamento delle credenziali e l’ampiezza di impatto della compromissione.

Se il sistema di autenticazione usa invece l’out-of-band authentication, diventa molto più difficile per un malintenzionato riuscire ad appropriarsi dell’identità digitale in quanto il secondo fattore è immesso attraverso un canale completamente separato dal primo.

Un esempio può essere un codice OTP che l’utente deve spedire al servizio via SMS, oppure una conferma attraverso una chiamata vocale o applicazione mobile.
In queste condizioni un malintenzionato dovrebbe riuscire a violare due sistemi separati dell’utente unendoli in un attacco sincronizzato.

Purtroppo non sempre gli accorgimenti relativi alla scelta del secondo fattore o del relativo metodo di autenticazione sono sufficienti a garantirne la qualità. Esempi eccellenti, quali la vulnerabilità del sistema a due fattori di Paypal o Google, ricordano che la sicurezza è forte solamente quanto l’elemento più debole della catena di accorgimenti che la costituiscono.