{"id":439343,"date":"2023-05-03T07:00:59","date_gmt":"2023-05-03T06:00:59","guid":{"rendered":"https:\/\/www.stormshield.com\/lautenticazione-a-due-fattori-premature-le-voci-sulla-sua-fine\/"},"modified":"2024-04-24T10:37:52","modified_gmt":"2024-04-24T09:37:52","slug":"lautenticazione-a-due-fattori-premature-le-voci-sulla-sua-fine","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/it\/notizie\/lautenticazione-a-due-fattori-premature-le-voci-sulla-sua-fine\/","title":{"rendered":"L’autenticazione a due fattori: premature le voci sulla sua fine"},"content":{"rendered":"

\"Failles<\/p>\n

Prima dell'avvento dell'autenticazione a due fattori (2FA), le password degli utenti erano l'unico ostacolo da superare per accedere agli account e ai dati pi\u00f9 sensibili. Una vulnerabilit\u00e0 ulteriormente esacerbata dal fatto che ancora oggi, purtroppo, queste password continuano ad essere generalmente troppo semplici e vengono riutilizzate su diverse piattaforme ad uso sia personale sia professionale.<\/strong><\/p>\n

Secondo il Data Breach Report 2022<\/a> di Verizon, l'82% delle violazioni si basa su tecniche di ingegneria sociale o sullo sfruttamento della vulnerabilit\u00e0 umana. Oggi, un passo di vitale importanza per contrastare questa piaga \u00e8 rafforzare la fase di autenticazione. Sebbene le aziende stiano adottando in modo diffuso l'autenticazione a due fattori come buona prassi di cybersecurity, questo metodo presenta diverse debolezze.<\/p>\n

 <\/p>\n

I limiti dell'autenticazione a due fattori<\/h2>\n

Negli ultimi anni, i criminali informatici hanno sviluppato tecniche sofisticate per aggirare l'autenticazione a due fattori. Uno dei metodi pi\u00f9 comuni consiste nel creare siti web contraffatti \u00a0utilizzando kit di phishing preconfezionati. Questi siti integrano pagine di accesso fasulle per raccogliere le credenziali dell'utente, come il codice o il cookie della sessione. Si tratta di un metodo formidabile, poich\u00e9 la vittima viene reindirizzata al sito legittimo in modo trasparente, senza accorgersi dell'inganno.<\/p>\n

Altre tecniche pi\u00f9 complesse, come l'ingegneria sociale sofisticata, vengono utilizzate anche per convincere una vittima a rivelare il proprio codice di autenticazione monouso tramite tecniche di deep fake vocale o reindirizzando chiamate telefoniche a numeri fraudolenti.<\/p>\n

I criminali informatici possono anche aggirare l'autenticazione a due fattori<\/strong> tramite attacchi di forza bruta iterando automaticamente tutte le possibili varianti dei codici di sicurezza. In pratica, questi attacchi sono relativamente rari perch\u00e9 richiedono tempo e vengono resi inefficaci dalle regole di firewalling che bloccano i tentativi di connessione a ripetizione.<\/p>\n

Ancora pi\u00f9 rari, ma altrettanto temibili, sono gli attacchi \"Man-In-The-Middle\" che implementano tecniche sofisticate per intercettare il codice 2FA posizionandosi all'interno del flusso di comunicazione tra l'utente e l'applicazione. Ad esempio, attacchi di tipo \"SIM swapping\" recuperano l'SMS di conferma dei parametri 2FA della vittima facendo illecitamente leva sull'opzione di portabilit\u00e0 del numero di telefono dello smartphone presso l'operatore telefonico. Queste sono tutte alternative al furto fisico di un computer o di un cellulare.<\/p>\n

Gi\u00e0 nel 2018, Amnesty International lanciava allarmi sulle vulnerabilit\u00e0 dell\u2019autenticazione a due fattori<\/a>. Amnesty Tech, nello specifico, aveva indagato su un\u2019ampia e sofisticata campagna di phishing ai danni di giornalisti e difensori dei diritti umani in Medio Oriente e Nord Africa. In questo caso, i criminali informatici avevano ricreato pagine di autenticazione di Google e Yahoo. Una volta inserito il proprio indirizzo email, l'interfaccia malevola chiedeva agli utenti il codice di autenticazione a 6 cifre appena inviato loro tramite SMS. Conoscendo quindi le credenziali e i due fattori di autenticazione gli aggressori avevano pieno accesso alle caselle di posta elettronica delle loro vittime.<\/p>\n

 <\/p>\n

L'autenticazione a due fattori \u00e8 ancora affidabile?<\/h2>\n

L'autenticazione a due fattori \u00e8 in realt\u00e0 infinitamente pi\u00f9 affidabile di una semplice password. Ma per far fronte a potenziali tentativi di elusione, \u00e8 urgente rafforzarla con misure aggiuntive.<\/p>\n

Un modo per aumentare la sicurezza degli accessi \u00e8 incrementare il numero dei fattori di verifica attraverso l'uso dell'autenticazione a pi\u00f9 fattori (MFA)<\/strong>. L'autenticazione a pi\u00f9 fattori richiede l'uso di diversi elementi di verifica per concedere l'accesso all'entit\u00e0 che si connette (una persona o una macchina).<\/p>\n

Classificati in tre categorie nelle raccomandazioni ufficiali dell'ANSSI<\/a>, questi fattori possono essere di vario tipo, inclusi:<\/p>\n