Uno dei consigli per aumentare la sicurezza è “Implementa l’autenticazione a due fattori!”. Sebbene sia vero che l’autenticazione a due fattori (2FA) è un metodo legittimo di sicurezza secondaria che le aziende dovrebbero adottare, non è così infallibile come si potrebbe pensare.
La tecnologia alla base della 2FA
La 2FA è un processo mediante il quale un utente viene autenticato con due metodi separati. Un esempio comune a molte applicazioni è il login in 2 step successivi: l’inserimento di uno username ed una password come primo step e di un codice generato da una app sul telefono o ricevuto via SMS o email come secondo step.
I vantaggi di 2FA sono chiari: l’aggiunta di un ulteriore livello di sicurezza ad un login significa che un aspirante hacker avrebbe bisogno di carpire più informazioni per accedere all’account.
I limiti della 2FA
L’accesso ad un sito protetto dalla 2FA è attaccabile quanto uno che non lo è: se un utente riceve un messaggio di phishing che gli chiede di accedere al proprio conto bancario e l’e-mail di phishing contiene un collegamento a un sito intermediario che ha l’aspetto della banca reale, l’utente accede al sito di phishing e inserisce il proprio nome utente e password, più il dato richiesto dalla 2FA. Il sito di phishing utilizza quindi le due parti per accedere come utente all’istituto finanziario. Poiché l’utente “si fidava” del sito di phishing, ha ceduto le proprie credenziali, rendendo inutile il secondo step.
Il consulente per la sicurezza ed ex hacker Kevin Mitnick ha recentemente dimostrato come i dati 2FA vengono registrati nei cookie di sessione. Una volta che una vittima di phishing aggiunge il proprio codice 2FA a un sito Web, l’hacker può acquisire il cookie di sessione con del codice maligno infilato nel browser Web dell’utente. Con il cookie di sessione, l’hacker non ha bisogno del nome utente e della password della vittima; devono solo incollare il cookie di sessione in un browser per accedere all’account della vittima.
Il senso di maggior sicurezza che deriva dall’utilizzo della 2FA può indurre l’utente ad abbassare la guardia e a cliccare più facilmente su link di siti che utilizzano questa protezione, aumentando le possibilità di successo dell’attacco.
Cosa fare
Sebbene l’autenticazione a due fattori possa aggiungere un livello di sicurezza a molte applicazioni, non è sufficiente per le minacce che arrivano via email. Implementando Vade per Microsoft 365, che utilizza l’intelligenza artificiale per rilevare attacchi di phishing mirati e una funzionalità di riparazione automatica per riclassificare automaticamente eventuali minacce che inizialmente hanno aggirato il filtro, l’utente finale è maggiormente protetto (il miglior modo per evitare che un utente clicchi un link pericoloso, è non farglielo arrivare!).
