L’autenticazione a due fattori non è più la migliore difesa contro gli hacker

L’autenticazione a due fattori (2FA) avrebbe dovuto porre fine, almeno per un po’, all’hacking degli account online. Comunque… da qualche anno ci sono varie tecniche per aggirarlo. C’è da dire in partenza che nel 2021/2222, in tema di doppia autenticazione, c’è il cibo e il bere. Esistono diverse modalità, senza fornire esattamente lo stesso livello di sicurezza.

Per lo più, il metodo preferito di autenticazione a due fattori per siti Web e organizzazioni è quello basato su token monouso (OTP). Sono generati dinamicamente da un’app sul tuo smartphone o su un dispositivo esterno. Oppure, cosa che purtroppo spesso accade, possono essere ricevuti via SMS quando necessario.

Un numero allarmante di strumenti semplifica l’hacking di account protetti da 2FA

Oltre a questo tipo di autenticazione, esistono anche modalità 2FA basate su Chiavi di sicurezza fisiche come Yubikey e Google Titan. Ogni volta l’idea è la stessa: oltre al tuo nome utente e password, qualsiasi connessione ai tuoi account implica l’invio di qualcos’altro, per essere sicuro della tua identità per l’ultima volta.

Sulla carta, il metodo sembra inarrestabile. Ma scopriamo rapidamente difetti significativi. Ad esempio, è relativamente banale aggirare l’autenticazione a due fattori quando quest’ultima si basa su codici OTP ricevuti tramite SMS. Un hacker può utilizzare la tecnologia SIM Swap per questo. Se ha dati personali su di te.

Concretamente, andrà quindi al tuo operatore telefonico e ti chiederà un duplicato della tua carta SIM che gli consentirà di ricevere tutti i tuoi messaggi SMS. Possono anche infettare lo smartphone della vittima, spiando così la sua email. Rischi che possono essere ridotti utilizzando un generatore di codici fisico o smartphone. Così come le chiavi di sicurezza fisiche.

Tuttavia, uno studio condotto congiuntamente dalla Stony Brook University e dalla società Palo Alto Networks evidenzia la crescente popolarità di metodi nuovi e più interessanti contro l’autenticazione a due fattori facilitata da toolkit distribuiti. Nel dark web. Stiamo parlando di soluzioni all-in-one che creano campagne di phishing e semplificano il furto di dati di connessione 2FA, in modo che un hacker inesperto possa raggiungere i propri obiettivi.

Grazie ai cookie di connessione poco importa se sia abilitata o meno l’autenticazione a due fattori

In tutto, i ricercatori riferiscono di aver scoperto più di 1.200 di questi strumenti che minacciano di rendere quasi banale la sicurezza dell’autenticazione a due fattori. Non si preoccupano più di rubare i codici di accesso una tantum, ma si tratta solo di estrarre i cookie di accesso, quei piccoli file che contengono tutti i dati necessari per confermare bene la tua autenticazione.

Secondo i ricercatori, questi cookie vengono generalmente rubati in due modi. Gli hacker possono infettare la loro vittima con malware specializzato o possono risucchiarlo direttamente fingendo di essere l’host di una rete Wi-Fi pubblica. Una tecnica nota come “l’uomo nel mezzo” (MitM). Una volta che gli hacker ottengono questi cookie, hanno accesso illimitato ai tuoi account da qualsiasi dispositivo.

Almeno fino alla scadenza dei rispettivi cookie. Su alcuni account come Facebook, Instagram o TikTok, questi cookie possono avere una data di scadenza molto lunga, che presenta un rischio maggiore per le vittime. Resta da vedere come collegare questa significativa debolezza nella catena della sicurezza di Internet: i cookie emergono a questo punto come un dispositivo completamente verificato per proteggere meglio la sicurezza degli account online.

Leggi anche – Gli hacker iraniani sviluppano malware Android per aggirare l’autenticazione a due fattori tramite SMS

Peccato quando le piattaforme erano online Cercando di generalizzare l’uso dell’autenticazione a due fattori, che sta ancora lottando per vincere. Ciò che questo studio mostra comunque è che c’è ancora molto lavoro da fare per proteggere i nostri dati su Internet, anche prima di parlare di doppia autenticazione. Resta da vedere quanto durerà la situazione prima che sia disponibile una soluzione veramente efficace.