Dovresti utilizzare l'autenticazione a due fattori ovunque sia disponibile. Non è perfetto, ma ferma la maggior parte degli attaccanti sul colpo. Ma non lasciatevi ingannare nel pensare che sia inespugnabile. Non è così.
Il problema della password
La password è stata il mezzo principale per proteggere gli account dei computer sin dagli anni '50. Settanta e passa anni dopo, siamo tutti sommersi da password, principalmente per i servizi online. Per curiosità, ho controllato il mio gestore di password. Ho 220 set di credenziali di accesso memorizzate al suo interno.
A meno che tu non sia particolarmente dotato, è impossibile memorizzare quel numero di password complesse e robuste. Ecco perché le persone riutilizzano le password e utilizzano password deboli ma facili da ricordare. Naturalmente, questo è il tipo di comportamento che mette i tuoi account a rischio di compromissione.
Attacchi automatici di forza bruta, attacchi a dizionario e altri attacchi di ricerca utilizzano elenchi di parole e database di password violate per tentare di ottenere l'accesso non autorizzato agli account delle persone. Ogni volta che si verifica una violazione dei dati, i dati vengono resi disponibili sul dark web per l'utilizzo da parte dei criminali informatici. Usano i database delle password violate come munizioni per il loro software. Mitraglia le credenziali rubate negli account, cercando di abbinare le password e ottenere l'accesso.
Il sito web Have I Been Pwned raccoglie i dati dal maggior numero possibile di violazioni dei dati. Puoi visitare liberamente il sito per verificare se il tuo indirizzo e-mail o una qualsiasi delle tue password sono stati esposti in violazione. Per darti un'idea della portata del problema, ci sono oltre 11 miliardi di set di credenziali nei loro database.
Con così tante password, c'è una forte possibilità che qualcun altro abbia scelto la tua stessa password. Quindi, anche se nessuno dei tuoi dati è mai stato esposto in una violazione, i dati di qualcun altro che hanno utilizzato la tua stessa password potrebbero benissimo avere. E se hai utilizzato la stessa password su molti account diversi, ciò li mette tutti a rischio.
RELAZIONATO: Come verificare se le e-mail del personale sono in violazione dei dati< /strong>
Norme sulle password
Tutte le organizzazioni dovrebbero avere una politica delle password che fornisca indicazioni sulla creazione e l'uso delle password. Ad esempio, è necessario definire la lunghezza minima di una password e le regole relative alla composizione di una password devono essere stabilite chiaramente affinché tutto il personale possa capirle e seguirle. La tua politica deve vietare il riutilizzo delle password su altri account e basare le password su animali domestici o membri della famiglia’ nomi, anniversari e compleanni.
Il problema che hai è come lo controlli? Come fai a sapere se il personale sta rispettando queste regole? Puoi impostare regole per la complessità minima su molti sistemi, in modo che rifiutino automaticamente le password troppo corte, che non contengono numeri e simboli o che sono parole del dizionario. Questo aiuta. Ma cosa succede se qualcuno usa la password di uno dei propri account aziendali come password Amazon o Twitter? Non hai modo di saperlo.
L'utilizzo dell'autenticazione a due fattori migliora la sicurezza dei tuoi account aziendali e fornisce anche una certa protezione contro una cattiva gestione delle password.
RELAZIONI:< /strong> Il problema con le password sono le persone
Autenticazione a due fattori
L'autenticazione a due fattori aggiunge un ulteriore livello di protezione agli account protetti da password. Insieme al tuo ID e password, devi avere accesso a un oggetto fisico registrato. Si tratta di dongle hardware o smartphone che eseguono un'app di autenticazione approvata.
Un codice monouso viene generato dall'app di autenticazione sullo smartphone. Devi inserire quel codice insieme alla tua password quando accedi all'account. I dongle possono essere collegati a una porta USB o possono utilizzare il Bluetooth. Visualizzano un codice o generano e trasmettono una chiave in base a un valore interno segreto.
L'autenticazione a due fattori combina le cose che conosci (le tue credenziali) con una cosa che possiedi (il tuo smartphone o dongle). Quindi, anche se qualcuno indovina o forza brutamente la tua password, non può comunque accedere all'account.
RELAZIONATO: L'autenticazione a due fattori tramite SMS non è perfetta, ma Dovresti ancora usarlo
Compromettere l'autenticazione a due fattori
Esistono diversi modi in cui un utente malintenzionato può superare l'autenticazione a due fattori e ottenere l'accesso a un account protetto. Alcune di queste tecniche richiedono capacità tecniche d'élite e risorse significative. Ad esempio, gli attacchi che sfruttano le vulnerabilità nel protocollo Signalling System No. 7 (SS7) sono generalmente condotti da gruppi di hacker ben attrezzati e altamente qualificati o aggressori sponsorizzati dallo stato. SS7 viene utilizzato per stabilire e disconnettere comunicazioni basate sulla telefonia, inclusi i messaggi di testo SMS.
Per attirare l'attenzione di questo calibro di attori delle minacce, gli obiettivi devono essere di altissimo valore. “Alto valore” significa cose diverse per attaccanti diversi. La ricompensa potrebbe non essere di tipo finanziario, l'attacco potrebbe essere motivato politicamente, ad esempio, o far parte di una campagna di spionaggio industriale.
In una “truffa del port out” i criminali informatici contattano il tuo gestore di telefonia mobile e fingono di essere te. Gli attori delle minacce sufficientemente esperti possono convincere il rappresentante di essere i proprietari del tuo account. Possono quindi trasferire il tuo numero di smartphone su un altro smartphone a cui hanno accesso. Tutte le comunicazioni basate su SMS vengono inviate al loro smartphone, non al tuo. Ciò significa che tutti i codici di autenticazione a due fattori basati su SMS vengono consegnati ai criminali informatici.
L'utilizzo di tecniche di ingegneria sociale per influenzare i dipendenti dei gestori di telefonia mobile non è semplice. Un metodo più semplice è utilizzare un servizio di messaggistica di testo aziendale online. Questi vengono utilizzati dalle organizzazioni per inviare promemoria SMS, avvisi sull'account e campagne di marketing. Sono anche molto economici. Per circa $ 15 puoi trovare un servizio che inoltrerà tutto il traffico SMS da un numero di smartphone a un altro, per un mese.
Ovviamente, dovresti possedere entrambi gli smartphone o avere il permesso del proprietario, ma questo non è un problema per i criminali informatici. Quando viene chiesto se è così, tutto ciò che devono fare è dire “sì.” Non c'è più verifica di quella. Nessuna competenza richiesta da parte degli aggressori, eppure il tuo smartphone è compromesso.
Questi tipi di attacchi sono tutti incentrati sull'autenticazione a due fattori basata su SMS. Esistono attacchi che eludono altrettanto facilmente anche l'autenticazione a due fattori basata su app. Gli autori delle minacce possono organizzare una campagna di phishing via e-mail o utilizzare il typosquatting per indirizzare le persone a una pagina di accesso convincente ma fraudolenta.
Quando una vittima tenta di accedere, gli vengono richiesti ID e password e il codice di autenticazione a due fattori. Non appena digitano il codice di autenticazione, tali credenziali vengono automaticamente inoltrate alla pagina di accesso del sito Web autentico e utilizzate per accedere all'account della vittima.
Don’ t Smetti di usarlo!
L'autenticazione a due fattori può essere superata da una serie di tecniche che vanno da quelle tecnicamente impegnative a quelle relativamente semplici. Nonostante ciò, l'autenticazione a due fattori è ancora una misura di sicurezza consigliata e dovrebbe essere adottata ovunque venga offerta. Anche in presenza di questi attacchi, l'autenticazione a due fattori è un ordine di grandezza più sicura di un semplice schema di ID e password.
È improbabile che i criminali informatici cercheranno di aggirare l'autenticazione a due fattori a meno che tu non sia autenticato. ;re un obiettivo di alto valore, di alto profilo o comunque strategico. Quindi continua a utilizzare l'autenticazione a due fattori, è molto più sicuro che non usarla.