Ci siamo già occupati in passato di metodi di autenticazione secondari che possano irrobustire il livello di sicurezza di un aspetto critico della sicurezza informatica: l’accesso utente. Oggi vogliamo convincervi che è il momento di prendere le distanze da meccanismi di autenticazione basati su autenticazione vocale o SMS.
Questo perché sono ancorati a reti telefoniche commutate pubblicamente (SMS) e crediamo siano i meno sicuri tra gli MFA attualmente disponibili. Questo gap non farà che ampliarsi man mano che l‘interesse degli aggressori si posizionerà sempre più verso la violazione dell’MFA. Ovviamente anche gli autenticatori appositamente progettati cercheranno di estendere i loro vantaggi in termini di sicurezza e usabilità.
In questo contesto le app di autenticazione offrono un’opzione immediata e in continua evoluzione sempre al passo delle minacce. Vale la pena ripetere, tuttavia, che non stiamo parlando di un servizio essenziale. Stiamo discutendo quale metodo MFA utilizzare, non se utilizzare l’MFA.
L’autenticazione a più fattori (MFA) è il minimo che le organizzazioni possono implementare se sono seriamente intenzionate a proteggere i propri account. L’uso di qualsiasi altro metodo oltre alla password aumenta significativamente i tempi/costi per gli aggressori, motivo per cui il tasso di compromissione degli account che utilizzano qualsiasi tipo di MFA è inferiore allo 0,1%
Le autenticazioni SMS, i punti deboli
Servizi limitati
Dato che tantissimi servizi si affidano alla ricezione di messaggi SMS, il formato dei messaggi è limitato: non possiamo ad esempio rendere i messaggi più ricchi di informazioni, più lunghi, oppure aggiungere altro oltre all’invio dell’OTP in un breve messaggio di testo o una telefonata.
Invece, uno dei vantaggi significativi di altri servizi MFA, è che possono adattarsi alle aspettative, migliorare l’esperienza utente e ai progressi tecnologici e al comportamento degli aggressori in tempo reale. Sfortunatamente, i formati di SMS e voce non sono adattabili, quindi le esperienze e le opportunità di innovazioni in termini di usabilità e sicurezza sono molto limitate.
Trasmissioni in chiaro
Quando sono stati sviluppati i protocolli SMS e vocali, sono stati progettati senza crittografia. Dal punto di vista dell’usabilità pratica, non possiamo implementare la crittografia a questi protocolli perché altrimenti gli utenti non sarebbero in grado di leggerli (ci sono anche altri motivi, come il sovraccarico dei messaggi, che hanno impedito a questi di impossessarsi dei protocolli esistenti).
Ciò significa che i segnali possono essere intercettati da chiunque possa accedere alla rete di commutazione o all’interno della portata radio di un dispositivo.
Un utente malintenzionato può instradare un dispositivo radio definita con l’opportuno software per intercettare i messaggi, oppure utilizzare un servizio di sniffing SS7 per intercettare il traffico telefonico”. Questa è una vulnerabilità sostanziale, unica dei sistemi PSTN, disponibile per determinati tipi di aggressori.
Attaccabili dalla social engineering
Vale la pena notare che l’assistenza tecnica della maggior parte dei sistemi PSTN è operata da personale helpdesk online e quindi da ampie infrastrutture. Può essere uno svantaggio. Purtroppo, il personale dell’assistenza clienti è vulnerabile al fascino, alla coercizione, alla corruzione o all’estorsione.
Se questi tentativi di attacco tramite ingegneria sociale hanno successo, l’assistenza clienti può fornire l’accesso al canale SMS o vocale. Questo porta all’intercettazione dei messaggi, attacchi con inoltro di chiamata, al SIM jacking.
Gli attacchi di ingegneria sociale colpiscono anche i sistemi di posta elettronica, anche se i principali sistemi di posta elettronica (ad esempio Outlook, Gmail) hanno difese più sviluppate al fine di prevenire la compromissione dell’account avendo ecosistemi di supporto.
Le prestazioni sono soggette all’operatore di telefonia mobile
Sfortunatamente, i sistemi SMS non sono affidabili al 100% e i rapporti non sono coerenti al 100%. Questo dipende dalla regione e dall’operatore, ma il percorso che un messaggio prende può influenzare il tempo necessario per riceverlo e se lo ricevi o meno.
In alcuni casi, gli operatori segnalano la consegna quando la consegna non è riuscita e, in altri, la consegna dei messaggi può richiedere un tempo sufficientemente lungo da far presumere agli utenti che i messaggi non siano stati in grado di passare. In alcune zone, le tariffe di consegna possono arrivare fino al 50%!
Poiché gli SMS sono “lancia e dimentica”, il provider MFA non ha feedback in tempo reale per indicare un problema e deve fare affidamento su tassi di completamento statistici o alle chiamate all’helpdesk per rilevare i problemi.
Soggette a modifiche dei regolamenti
A causa dell’aumento dello spam nei formati SMS e delle frodi (SMISHING) le autorità di regolamentazione hanno richiesto l’introduzione di regolamenti su identificazione dei codici, velocità di trasmissione, contenuto dei messaggi, autorizzazione all’invio e risposta a messaggi come “STOP”.
Sfortunatamente , queste normative cambiano rapidamente e sono incoerenti da stato a stato e possono (e hanno) comportato gravi interruzioni del servizio di recapito. Più interruzioni, più frustrazione per gli utenti.
Contesto limitato
In ultima analisi i metodi testuali o vocali limitano la quantità di informazioni che possono essere inviate ad un utente: gli SMS contengono 160 caratteri, 70 se non si utilizza il GSM, e una volta inseriti nelle lingue che richiedono la codifica, il limite pratico senza la suddivisione dei messaggi è solo di circa la metà.
Inoltre il phishing è un serio vettore di minacce e obiettivo dovrebbe essere fornire all’utente quanto più sicurezza possibile (oppure, utilizzando Windows Hello o FIDO, rendere impossibile il phishing): i formati vocali e SMS limitano la nostra capacità di individuare il contesto in cui viene eseguita l’autenticazione.
Autenticazione evoluta
Per riassumere: utilizziamo l’MFA più sicuro, ma quale?
Riteniamo che la risposta giusta sia l’autenticazione basata su app.
Un’applicazione gratuita, ad esempio, è quella fornita da Microsoft, ovvero Microsoft Authenticator . L’autenticatore utilizza la comunicazione crittografata, consentendo la comunicazione bidirezionale dello stato di autenticazione, e attualmente lo sviluppo va nella direzione di aggiungere ancora più sicurezza e controllo all’app al fine di tenere gli utenti al sicuro.
Di recente, ad esempio, è stato aggiunto il blocco dell’app, la possibilità di nascondere le notifiche nella schermata di blocco, la cronologia degli accessi all’app e altro ancora. Perché quindi non passare a questi sistemi più avanzati, in modo da aumentare la sicurezza informatica a livello di Identity?