Autenticazione con SMS? Addio!

Marco Bonfiglio
0

NISTPer difendere gli utenti da intrusioni non autorizzate nei propri account, si propongono forme di autenticazione alternative alla classica password.

Una delle techine più usate è la cosiddetta autenticazione a doppio fattore: non viene sostituito il meccanismo della parola segreta, ma affiancato un altro meccanismo che usi un altro canale di comunicazione (out of band). Google è uno dei maggiori sostenitori di questa tecnica tramite SMS: per accedere al proprio account diventa necessario usare la propria password e un codice inviato al nostro telefono tramite, appunto, messaggino. Comodo, veloce, sicuro.

Il NIST (National Institute of Standards and Technology, l’istituto americano che si occupa della definizione nazionale degli standard) ha pubblicato da poco la bozza delle nuove linee guida in fatto di autenticazione, e cita esplcitamente che:

Due to the risk that SMS messages may be intercepted or redirected, implementers of new systems SHOULD carefully consider alternative authenticators. […] OOB using SMS is deprecated, and may no longer be allowed in future releases of this guidance.

Per il rischio che i messaggi SMS possano essere intercettati o dirottati, gli implementatori di nuovi sistemi DEVONO considerare attentamente metodi di autenticazione alternativi. […] OOB (out of band) tramite SMS è deprecato, e potrebbe non essere più permesso nelle future versioni di queste linee guida.

Le paure del NIST riguardano la tecnologia stessa (vecchia) alla base degli SMS, molte volte considerata semplicemente non sicura. Poi, nel mondo di oggi, spesso i servizi VoIP offrono numeri di telefono che possono inviare o ricevere SMS, ma senza avere un vero telefono in riferimento; se usiamo internet per leggere l’SMS per accedere ad un servizio internet, cade completamente l’idea di out of band, ovvero il fattore che aumenta proprio la sicurezza.

Questa presa di posizione in realtà non è da considerarsi come messa al bando della tecnica, e soprattutto non in tempi brevi: qui vengono espresse le linee guida, e sta poi ad ogni singolo utilizzatore decidere se e come seguire le indicazioni; è perfettamente immaginabile che ancora per molto tempo sarà una tecnica diffusa. E usata.

Esistono altre forme di autenticazione (come le chiavette OTP, ormai mezzo standard per le operazioni di home banking), e probabilmente altre verranno fuori, ma se sperate che un giorno la vostra impronta digitale o l’iride diventino la vostra chiave universale dovrete ricredervi: anche le tecniche biometriche sono considerate insicure, se non affiancate da altre forme di autenticazione!

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

, ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2909) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (67) Google (85) IBM (49) Intel (54) KDE (35) Kernel (219) Kubernetes (89) Linux (673) LinuxFoundation (31) LTS (32) Malware (54) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (323) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (37) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)