Attacchi hacker o phishing, keylogging o pharming: gli strumenti con cui la sicurezza delle attività online e la riservatezza dei dati aziendali possono essere messe a rischio sono molteplici.
Le password, si dimostrano sempre più insufficienti ed inefficaci nello svolgere il loro compito di protezione.
È ormai noto quanto sia importante usare password complesse e sempre diverse, così come diventa indispensabile usare strumenti per riuscire a ricordare le tante password (spesso differenti) che ci troviamo a gestire, per questo sempre più persone e aziende adottano i password manager.
Ma anche mettendo in pratica le buone regole, non è possibile escludere che una password venga rubata. Un’autenticazione basata solo su password è dunque intrinsecamente debole.
Quantifichiamo il problema: il furto di credenziali rappresenta il 95% di tutti gli attacchi a siti e servizi web. Nel 2019 sono state bloccate oltre 13 miliardi di email nocive e sospette, 1 miliardo di queste volto al furto di credenziali, e grazie a questo strumento sono stati compromessi oltre 8,5 miliardi di file.
Si registra un aumento del 200% delle violazioni rispetto agli anni precedenti.
Ma ancora, secondo gli ultimi report la violazione dei dati dei dipendenti è quella più gravosa e che l’80% di questi attacchi ha portato all’esposizione di informazioni di identificazione personale dei clienti, causando costi ingenti per le aziende.
Alle aziende italiane colpite ogni violazione di sicurezza costa in media 2,90 milioni di euro.
Come non bastasse, l’attuale emergenza sanitaria causata dalla pandemia da COVID-19 ha peggiorato questo quadro, aumentando le criticità per la sicurezza informatica delle imprese.
Molte aziende, infatti, hanno ormai da mesi adottato politiche organizzative orientate allo smart working, ma le minacce informatiche a cui ci si espone lavorando da casa aumentano esponenzialmente, soprattutto a causa di dispositivi personali non adeguatamente protetti (incluse connessioni di rete: ADSL, WiFi, ecc.), utilizzati per accedere ai sistemi aziendali.
Spesso, infatti, quando si utilizzano strumenti non forniti dall’azienda, le misure di sicurezza vengono trascurate, come ad esempio il riutilizzo delle password o la possibilità per differenti membri della famiglia di usare i dispositivi aziendali, sottovalutando così i rischi connessi alla navigazione in rete e mettendo a pericolo i sistemi e dati sensibili delle organizzazioni.
In questo scenario, la possibilità di utilizzare computer infetti da malware, di cadere vittima di intercettazioni di comunicazioni o di perdere i dati a causa di attacchi informatici, incrementa particolarmente.
In questo contesto è quindi chiaro che non è più sufficiente proteggere i propri account con una password sicura: è opportuno, anzi indispensabile, utilizzare un metodo più sicuro per l’accesso a dispositivi e file aziendali: l’autenticazione forte (strong authentication), nota anche come autenticazione a due fattori (2FA: two factor authentication).
Che cos’è l’autenticazione a due fattori
Definita anche 2FA (two-factor authentication) o MFA (Multi-Factor Authentication), si intende la verifica della propria identità digitale sulla base di due criteri differenti.
Oggi rappresenta un ulteriore e superiore livello di sicurezza, ed è il sistema di protezione più sicuro che abbiamo a disposizione per proteggere i nostri account.
La condizione affinché si possa definire “autenticazione a due fattori” si verifica solo quando i due fattori utilizzati sono di matrice differente, mentre non può essere considerata 2FA quando realizzata con due password. Il secondo fattore può quindi essere rappresentato da un PIN numerico (ottenuto tramite sms, app o token), oppure da riconoscimento biometrico (impronta digitale, riconoscimento facciale o della retina).
L’autenticazione a due fattori non dovrebbe essere considerata un “lusso” da applicare solo negli account bancari, dove ormai è largamente utilizzata, ma dovrebbe essere utilizzata quanto più possibile, soprattutto per tutti quegli account – personali e aziendali – nei quali si trovano dati importanti: in questo senso gli account e-mail sono quelli da proteggere con maggior attenzione.
Se la nostra e-mail viene violata tutta la nostra vita risulterà esposta, così i servizi cloud e qualsiasi account aziendale.
Utilizzare la 2FA non è difficile: dopo aver inserito la password (primo fattore) del proprio account, sarà richiesto di digitare un secondo fattore. Ormai tutti i principali siti e servizi rendono disponibile attivare come opzione aggiuntiva l’autenticazione a due fattori in forma facoltativa.
A differenza della password, il secondo codice viene generato in maniera pseudocasuale e per un tempo limitato, da token o ricevuto via sms/app, per questo motivo, lo si definisce OTP: “one time password”.
I token e le altre soluzioni OTP (sms, seconda mail, app) sono però meno utilizzati, in quanto considerati non così sicuri. Anche se limitata infatti, esiste una finestra di attacco che si è rivelata non essere esente da furti di credenziali, infatti questa soluzione, mediamente, porta con sé un 17% di rischio.
Sono stati creati quindi nuovi tipi di token, chiavi di sicurezza realizzate secondo lo standard FIDO U2F Security Key.
Si tratta di uno standard di autenticazione open source, creato inizialmente da Google e da Yubico e successivamente confluito nella FIDO (“Fast IDentity Online”) Alliance.
Già supportato dai principali browser tra i quali Chrome, Firefox ed Opera, FIDO diventerà lo standard del prossimo futuro, anche perché già conforme ai livelli crittografici più elevati, tra cui la FIPS 140-2 (“Validation Ensures Strong Security and Compliance”) ed il livello 3 di autenticazione (AAL3) indicato nelle linee guida NIST SP800-63B. Garantisce anche la conformità alla direttiva europea PSD2 per quanto riguarda la Strong Customer Authentication (SCA).
Queste nuove chiavi di sicurezza sono piccole, leggere e facili da usare, proteggono l’utente dagli attacchi di phishing, sono economiche e sono meno complicate e molto più sicure dell’autenticazione a due fattori basata su SMS.
Inoltre, oggi esistono chiavette in tutti i formati: USB-A, USB-C, Lightning per gli utenti di iPhone e persino chiavi Bluetooth con NFC (Near Field Communication).
La soluzione YUBICO
Yubico, azienda svedese leader globale nell’autenticazione a due fattori, ha realizzato nel 2008 la soluzione di 2FA più immediata presente sul mercato, sfruttando un unico token di sicurezza montato su una chiavetta USB.
Il prodotto principale, la YubiKey (nei diversi modelli), è una chiavetta USB open source che gestisce l’autenticazione in modo più efficace con una chiave crittografica da 128 bit e un algoritmo di cifratura AES.
La tecnologia Yubico è oggi utilizzata da milioni di utenti, oltre 4.000 aziende leader a livello mondiale in 160 nazioni, tra cui le principali aziende tech, come Facebook e Google, utilizzano già le Yubikeys.
Altra peculiarità della tecnologia Yubico è che nessun dato personale viene memorizzato nella chiavetta, tanto meno alcuna informazione relativa ai singoli account utente.
Ciò significa che in caso di smarrimento o dimenticanza della chiavetta, nessuna informazione personale potrà essere direttamente riutilizzata da terzi. La perdita di una chiavetta non ha implicazioni in termini di sicurezza. Sarà sufficiente, qualora non si possieda una chiavetta di backup, rimuovere dal sito o servizio la Yubikey come secondo fattore di autenticazione.
Il procedimento è semplice, prendiamo ad esempio Gmail: accedendovi da browser, il sito ci chiederà normalmente di inserire la nostra password e, utilizzando una YubiKey, ci verrà poi richiesto di inserirla nella porta del computer per completare l’accesso. Qualora la password fosse stata compromessa da un hacker malevolo o da un trojan, occorrerà sempre inserire anche la YubiKey per accedere alle mail.
Per sincronizzare la YubiKey alla propria casella di posta, basta fare poche modifiche al proprio account Google.
Ma ancora, a rendere le cose più semplici è che non è necessario installare nessun tipo di software.
Al momento, infatti, le YubiKey si possono associare con oltre cento servizi come la suite M365, Dropbox, Evernote o WordPress.
I modelli di Yubikey
La YubiKey 5 NFC di Yubico è una chiave hardware di sicurezza con doppia connessione: USB-A e NFC-Bluetooth, questo la rende estremamente comoda perché l’USB-A è un formato praticamente
universale sui computer desktop e laptop, l’NFC è sempre più diffuso su smartphone e tablet.
Disponibile anche con connessione USB-C.
C’è poi la YubiKey 5 Nano, è minuscola, a differenza della precedente non ha la connessione NFC ma solo la USB-A o USB-C, per il resto offre lo stesso standard di sicurezza e le stesse certificazioni.
In questo formato disponibile anche la YubiHSM 2: un modulo di sicurezza hardware (HSM) dedicato che offre una protezione superiore per proteggere chiavi digitali di alto valore, che comporterebbero un impatto negativo significativo se compromesse.
Le aziende possono integrarsi rapidamente con YubiHSM 2 utilizzando l’SDK 2.0 open source.
Infine, una terza possibilità: la Yubikey 5C: con connessione USB-C, adatta quindi anche ai Mac più moderni, non ha la connessione NFC ma ripropone tutti gli standard di sicurezza e le certificazioni presenti nei precedenti modelli.
Presente anche nella versione YubiKey 5Ci, con connessione lightning per iPhone.
Tutte le chiavette sono disponibili anche nella versione FIPS, dedicate alla pubblica amministrazione e aziende connesse: la serie YubiKey FIPS,infatti, consente alle agenzie governative e ai settori regolamentati di soddisfare i requisiti di livello 3 (AAL3) di garanzia dell’autenticatore più elevati della nuova guida NIST SP800-63B.