Ogni volta che accediamo ad un servizio online, sia esso un social, un sito di acquisti o all’home banking, ci viene chiesto di autenticarci, ovvero di dimostrare al servizio che siamo proprio chi diciamo di essere. Per “dimostrare” la nostra identità, in genere, è sufficiente utilizzare un indirizzo di posta elettronica ed una password. Due dati facili da “rubare”, poiché l’indirizzo di posta elettronica è abitualmente noto a tutti, così come la password utilizzata può essere reperita in poco tempo, perché troppo semplice o perché gli hacker riescono a carpirla senza problemi. Da qui l’idea di imporre una doppia autenticazione, detta anche “Verifica in due passaggi” o “Autenticazione a più fattori”. Una modalità, spesso non apprezzata dagli utenti, che impone di adottare un “secondo fattore”, per dimostrare la propria identità.
Un esempio classico è il numero a 6 cifre di Microsoft Authenticator, cambia ogni 30 secondi, rendendo apparentemente inutile il furto della password.
Come violare l’autenticazione a due fattori
Gli hacker, infatti, una volta superato il primo livello di autenticazione, possono intercettare un OTP (One-Time Password) e sfruttarne il “tempo di vita” per modificare i parametri di autenticazione o il numero di telefono a cui inviare il codice numerico, rubando di fatto l’identità della vittima. Un furto di identità che, anche se condotto verso siti apparentemente innocui (come potrebbe essere un negozio online di scarpe), è spesso l’inizio di un attacco molto più serio e pericoloso anche per un’azienda ed i dispositivi in possesso dei dipendenti.
Anche per questa ragione una delle modalità di difesa consiste nel valutare il rischio contestuale. Ovvero assegnare un punteggio ad ogni potenziale fattore di rischio informatico (indirizzo IP, tipologia di utente e applicazione, Internet Service Provider a cui si è collegati, posizione geografica, orario del giorno…. Tuto questo porta ad un punteggio totale, in base al quale si decide la rigorosità delle richieste di autenticazione.
Si tratta di modalità poco apprezzate dagli utenti che, “non vogliono perdere tempo” e che, per tal ragione devono essere motivate e fatte comprendere al personale anche attraverso corsi specifici, che permettano di accrescere la sensibilità e insegnino ad utilizzare al meglio gli strumenti di base della sicurezza, oltre ad adottare alcuni “trucchi” quotidiani che possono innalzare sensibilmente il livello di sicurezza.