Secondo una recente intervista, Google ha sconfitto il furto di identità fra i suoi dipendenti con una chiavetta da 20 euro, che possono comprare tutti.
Il furto di identità è senza dubbio uno dei flagelli che affliggono la nostra vita digitale. Può avvenire in molti modi, ma quello più diffuso è senza dubbio il Phishing. Con questa tecnica i malintenzionati, invece di prendere di mira una persona specifica, provano a inviare decine di migliaia di messaggi a diverse persone, sperando che qualcuna, tratta in inganno, “abbocchi” alla trappola. Il nome Phishing deriva proprio da un gioco di parole, l’assonanza con il termine fishing che in inglese indica proprio la disciplina della pesca.
Il meccanismo è sempre lo stesso: i malintenzionati inviano una mail, costruita ad arte per somigliare a quella di un prodotto o un servizio molto famoso. Così facendo riescono a ottenere con l’inganno i dati di accesso della persona che hanno preso di mira. Una volta ottenuti questi dati, possono essere usati per qualsiasi tipo di frode informatica. Le due pratiche più comuni di solito sono l’uso delle carte di credito e dei conti online, oppure la vendita del nostro account “aperto” sul mercato nero, quasi sempre nel Dark Web.
Google ha debellato il furto di identità fra i suoi dipendenti
Secondo l’articolo pubblicato da Brian Krebs sul suo blog, un portavoce di Google ha comunicato che l’azienda lo scorso anno ha registrato zero casi di phishing su più di ottantacinquemila dipendenti. Questo dato è già notevole, ma è ancora più importante se consideriamo che l’account di un dipendente Google qualsiasi fa mediamente molta più gola di quello di un utente generico del Web, quindi l’azienda è senza dubbio soggetta ad attacchi mirati e altri tentativi di intrusione.
La soluzione a prova di bomba contro il phishing costa 20 euro
Per azzerare i casi di phishing e furto di identità Google non ha usato una tecnologia “segreta”, ma un sistema alla portata di tutti: una chiavetta USB che consente un tipo diverso di autenticazione a due fattori. In pratica, quando un utente deve accedere a un sito o un servizio, invece di ricevere un codice sullo smartphone o via mail, deve collegare la chiavetta al computer. Questa viene riconosciuta in modo univoco e permette di sbloccare l’accesso.
Per chi ha avuto modo di utilizzarle, si tratta di una specie di smart card, ma gestita in modo più intelligente e con uno standard universale. La cosa divertente è che queste chiavette possono essere acquistate da chiunque anche in Italia. Amazon offre diversi modelli e quello più semplice, la [amazon_textlink asin=’B07BYSB7FK’ text=’Yubico Security Key’ template=’ProductLink’ store=’deltapictures-21′ marketplace=’IT’ link_id=’184cdd4b-8ff5-11e8-bbdf-23dde9b62bce’], costa poco più di 20 euro, mentre i [amazon_textlink asin=’B00LX8KZZ8′ text=’modelli più evoluti’ template=’ProductLink’ store=’deltapictures-21′ marketplace=’IT’ link_id=’ad44da00-8ff5-11e8-9d00-275373f127b0′] possono arrivare a una cinquantina.
Come funziona il sistema anti phishing basato su chiavetta?
Il principio alla base è identico a quello dell’autenticazione a due fattori che usiamo già sullo smartphone. Solo che nel caso di attacchi estremamente evoluti o mirati, anche questo tipo di autenticazione può essere forzato, per esempio clonando la nostra SIM o lo smartphone. Un piccolo dispositivo hardware come queste chiavette invece è praticamente “inclonabile”: l’unico modo per un malintenzionato di averlo sarebbe quello di rubarcelo fisicamente.
Inoltre, diversamente dai vari sistemi basati su smart card proprietarie e altri tipi di certificati poco diffusi, alla base di questi piccoli dispositivi c’è un sistema chiamato U2F, acronimo di Universal Two Factor. Si tratta di un sistema di autenticazione a due fattori Open Source che sta poco per volta diventando uno standard. Fra le aziende che hanno già aderito e permettono di autenticarsi in questo modo troviamo, oltre a Google, Facebook, Dropbox e GitHub, giusto per citarne alcuni. Il sistema inoltre è già implementato in tutti i browser principali: Chrome, Firefox e Opera.
L’autenticazione a due fattori tradizionale è ancora valida?
Qualunque esperto potrà confermare che la sicurezza assoluta non esiste. Tuttavia, per quanto l’autenticazione con una chiave hardware sia migliore rispetto a quella basata su smartphone, non significa che questa non sia già un ottimo sistema per tutelare i nostri dati.
Fonte foto copertina: yubico.com/product/security-key-by-yubico/
