Il puzzle dell’autenticazione

Creare un processo di autenticazione sicuro che renda felici gli utenti è più facile a dirsi che a farsi, ma è necessario per tenerli al sicuro online.

Avere il controllo degli accessi è la base di tutta la sicurezza. Solo le persone autorizzate dovrebbero essere ammesse. Ciò avviene confermando – o autenticando – l’identità della persona che cerca di effettuare un accesso e quindi controllando che la persona sia autorizzata a entrare.

L’autenticazione viene normalmente ottenuta mediante la presentazione di un ID utente (generalmente l’indirizzo e-mail dell’utente) per identificare la persona e una password segreta nota solo a quella persona per confermarne l’identità.

Ma ci sono enormi problemi con questo processo. Fondamentalmente, non si autentica la persona; se un criminale acquisisce e utilizza l‘ID e la password dell’utente, è automaticamente autorizzato ad effettuare il login. Quindi, in parole povere, una password non autentica l’utente, ma semplicemente autorizza un dispositivo indipendentemente da chi lo sta utilizzando.

Questa debolezza fondamentale nell’autenticazione basata su password si sta rivelando un problema sempre maggiore a causa dal grande volume di ID e password rubati e ormai disponibili per i criminali informatici. Questa emergenza ha innescato una gara per trovare o sviluppare una forma più sicura ed efficiente di autenticazione. Esamineremo alcune delle opzioni, ma inizieremo con un esame di come e perché le password hanno fallito.

Le password

Troppe e troppo deboli

Un’analisi di LastPass, pubblicata a novembre 2017, “ha scoperto che il dipendente medio che utilizza LastPass gestisce 191 password. Non 10, non 50, ma una media di 191″. Non è realistico aspettarsi che gli utenti ricordino tutte queste password o mantengano sicuri i loro promemoria; quindi usano e riutilizzano password semplici. Le password semplici che vengono ricordate più facilmente sono le più comuni e le più facili da individuare. Prova a confrontare l’elenco delle 10 peggiori password di Avast con l’elenco delle password utilizzate più di frequente tra le vittime della violazione nel 2019, nonché un elenco delle password più utilizzate nel 2019 da SplashData.

Elenco delle “peggiori password” di Avast

123456
Password
12345678
qwerty
12345
123456789
letmein
1234567
football
iloveyou

Le password più violate del NCSC 2019

123456 (23.2 milioni di utenti)
123456789 (7.7 milioni di utenti)
qwerty (3.8 milioni di utenti)
password (3.6 milioni di utenti)
1111111 (3.1 milioni di utenti)

Le password più utilizzate di SplashData 2019

123456
123456789
qwerty
password
1234567
12345678
12345
iloveyou
111111
123123

Avast offre consigli su come creare una password complessa e fornisce anche un generatore di password complesse casuale (esempio: ScuXaiZpdJkjFAb). Anche se si utilizzerà tale strumento, sarebbe opportuno testarlo per vedere come appare una password complessa.

Riutilizzo delle password

Gli utenti utilizzano spesso la stessa password su più account online diversi per ridurre il numero di quelle che devono ricordare. Ciò implica che se gli hacker ottengono una password, hanno accesso a tutti gli altri account che usano la stessa password. Un sondaggio del 2018 di LastPass ha rilevato che il 59% degli utenti ammette di riutilizzare le password per paura di dimenticarle.

Furto di password e utilizzo da parte di criminali

Una password è un problema solo se utilizzata per autenticare una persona non autorizzata; cioè un malintenzionato. Ciò pone un quesito, ovvero come ottengono le password i criminali? e la risposta è purtroppo “fin troppo facilmente”. Milioni vengono rubate dai servizi online e da cyber criminali specializzati ogni settimana – e attualmente ci sono miliardi di password in vendita o gratuite sul dark Web.

Queste password dovrebbero essere, e di solito lo sono, archiviate dai fornitori in una forma di crittografia nota come “hashing”. L’hashing produce un output unico di lunghezza standard che non può essere ripristinato all’originale. Tuttavia, i criminali hanno vaste tabelle di valori hash pre-calcolati e le fonti (password) che li producono. Confrontando il valore hash rubato con queste tabelle, possono immediatamente trovare la password originali; e, naturalmente, le password comuni e semplici vengono controllate per prime. In questo modo si riesce a rivelarne centinaia al secondo.

Il secondo metodo comune per raccogliere le password è tramite phishing. Qui l’utente cade in un inganno progettato per consegnare nomi utente e password (o dettagli bancari completi) al criminale tramite un sito Web falso. Queste password non devono essere decifrate perché l’utente le fornisce senza crittografia.

In questo modo, il criminale ha accesso a molteplici possibilità di accoppiamenti nome utente / password. Solitamente – si spera – l’utente viene informato che la password è stata sottratta e viene costretto a cambiarla. Tuttavia, numerosi studi dimostrano che gli utenti non cambiano spesso quella stessa password anche negli altri account per cui è stata riutilizzata.

Qui i criminali useranno un processo noto come “stuffing di credenziali”. Andranno su un sito Web di destinazione e utilizzeranno script automatici per testare il processo di accesso con il loro archivio di ID / password. Effettueranno questa operazione per un determinato periodo di tempo con vari gradi di sofisticazione in modo da evitare di essere rilevati. La maggior parte dei tentativi fallisce e lo script passa al successivo e ripete il processo fino a quando non ci riesce. La percentuale di successo è sufficientemente elevata da essere un problema serio.

Migliorare la sicurezza dell’autenticazione

Attrito

La prima cosa da capire in ogni tentativo di aumentare la sicurezza dell’autenticazione è il concetto di “attrito dell’utente”. L’attrito viene utilizzato per indicare il grado di sforzo richiesto dall’utente. In generale, aumentare la sicurezza richiede un aumento dell’attrito. Ma agli utenti non piace l’attrito sull’autenticazione. Le password brevi, semplici e riutilizzate sono prive di attrito; le password uniche, lunghe e complicate hanno un alto attrito. Questo è il motivo per cui gli utenti adottano ripetutamente il primo modus operandi.

Se un fornitore online ha processi di accesso complessi, offrirà alta sicurezza e attrito elevato. L’utente passerà probabilmente a un sito Web diverso con basso attrito, indipendentemente dalla sicurezza ridotta. L’anomalia, quindi, è che la sicurezza viene solitamente acquisita a spese dei clienti; e il Santo Graal per tutti i nuovi processi di autenticazione è la combinazione di alta sicurezza e basso attrito. In un mondo online, le aziende che riusciranno in tale combinazione avranno successo, mentre le altre falliranno.

Single Sign-On

Single Sign-On (SSO) è un tentativo di ridurre l’attrito dell’utente riducendo il numero di password richieste a una sola: la password richiesta per accedere al servizio SSO stesso. Dopo aver effettuato l’accesso al servizio, è responsabilità del servizio SSO far accedere l’utente a qualsiasi altro sito Web o servizio. Sebbene ciò riduca l’attrito, è discutibile fino a che punto aumenti la sicurezza. All’utente viene richiesta ancora una password per accedere al servizio. Il servizio stesso contiene molti dati dell’utente e diventa un singolo punto di errore e un obiettivo per gli hacker.

Esistono due tipi di SSO: servizi commerciali e offerte gratuite. I servizi commerciali sono spesso utilizzati dalle aziende: la riduzione dell’attrito degli utenti aumenta la produttività dei dipendenti. Le offerte gratuite sono più comunemente scelte dai consumatori senza rendersi conto che si tratta di una forma di SSO. I pulsanti “accedi con Google” (o Facebook o Twitter) così frequentemente trovati e utilizzati per comodità sono servizi SSO. L’attrito è ridotto; la sicurezza tradizionale è forte come quella di Google o Facebook; ma il costo è la privacy. Quando ‘accedi con Facebook’, in realtà stai dicendo a Facebook (una società il cui modello di business si basa sulla vendita di informazioni personali) dove stai andando e potenzialmente cosa stai facendo su Internet.

Aumentare il numero di fattori di autenticazione

Una password è una forma di autenticazione a fattore singolo. I “fattori” sono diversi tipi di segreti che devono essere presentati prima dell’autenticazione. Una password appartiene al fattore noto come “qualcosa che conosci”. Altri fattori possono essere “qualcosa che possiedi” (come una carta di credito o carta d’identità); “qualcosa che sei” (come una o più caratteristiche biometriche uniche come un’impronta digitale); e “qualcosa che fai” (la biometria comportamentale che include identificatori come posizione geografica, modelli di digitazione, tempo di accesso e molti altri).

Ogni volta che il requisito di autenticazione viene aumentato con ulteriori fattori richiesti (ovvero passando dall’autenticazione a fattore singolo a quella a più fattori – MFA), la sicurezza dell’autenticazione viene notevolmente migliorata. Ecco perché gli esperti di sicurezza informatica lodano e raccomandano sempre l’AMF. Sfortunatamente, all’aumentare della sicurezza, aumenta anche l’attrito degli utenti, ed è per questo che gli utenti sono riluttanti ad adottare l’AMF.

Il problema di autenticazione rimane lo stesso: come è possibile aumentare la sicurezza dalle password a fattore singolo senza aumentare (e idealmente ridurre) l’attrito dell’utente?

Token una tantum

I token una tantum – così amati dagli istituti finanziari e quasi universalmente detestati dagli utenti – sono la forma più comune e di base dell’AMF. In pratica, sono solo due fattori dello stesso tipo: qualcosa che conosci. Nella sua forma più semplice, quando l’utente accede a un sito Web, l’azione attiva una seconda forma monouso di password aggiuntiva (il token) da inviare al telefono cellulare dell’utente, che deve essere inserito nel sito Web prima di ottenere l’accesso.

Considera il processo. L’utente tenta di accedere al sito Web. Lui o lei deve quindi attendere che il sito Web generi la password singola e la invii al telefono cellulare dell’utente.

(Questo pone la domanda, cosa succede se l’utente non ha un telefono cellulare, o è rotto, perso o rubato, o non c’è segnale wifi in questa posizione, o è sotto il controllo di un hacker che ha installato spyware e puoi rubare il token?)

L’utente deve quindi attendere linvio, leggere il token e inserirlo fisicamente nella pagina Web di accesso senza errori. Non è insolito che un singolo errore o un ritardo troppo lungo richieda la ripetizione dell’intero processo. Comprensibilmente, data l’opzione, la maggior parte degli utenti preferirebbe evitare questo tipo di AMF, nonostante la probabile maggiore sicurezza, semplicemente utilizzando un servizio alternativo che non lo richiede.

E nota anche che questo processo non risolve il problema fondamentale: è il dispositivo che viene autorizzato piuttosto che la persona che viene autenticata.

Biometria fisica

La biometria fisica – il fattore “qualcosa che sei” – è stata a lungo promossa come alternativa sicura e senza attrito alle password. Risolvono certamente il problema fondamentale, poiché è la persona che viene identificata e il dispositivo che viene autorizzato. Ma non hanno mai del tutto prodotto un’alternativa all’uso del telefono cellulare.

La biometria è molto amata dai governi e dalle forze dell’ordine, che li usano per autenticare (o più probabilmente, riconoscere) gli individui mediante impronte digitali o scansioni facciali. Ciò introduce una delle maggiori preoccupazioni sull’uso della biometria: la perdita della privacy degli utenti.

Quando le agenzie utilizzano il riconoscimento biometrico, confrontano il campione scansionato con enormi database di scansioni di controllo. Può funzionare solo come una forma di riconoscimento / autenticazione se l’immagine acquisita è inclusa nei database. In termini legali, ciò significa che le scansioni “innocenti” sono trattate come le scansioni dei criminali noti. Capovolge il principio di lunga data secondo cui le persone sono innocenti fino a prova contraria, perché presume che le persone siano colpevoli fino a prova contraria dal database biometrico.

Ciò ha portato a una notevole sfiducia nei confronti della biometria da parte degli utenti, laddove la preoccupazione si è ridotta all’utilizzo commerciale della biometria.

Va inoltre affermato che laddove sono richiesti grandi database centrali di controlli biometrici, questi sono un obiettivo primario per gli hacker. Il problema per gli utenti, tuttavia, è che se un dato biometrico viene rubato, non può essere modificato con la stessa facilità con cui è possibile modificare una password rubata.

Ci sono altri problemi. La biometria personale può cambiare nel tempo. Le impronte digitali, ad esempio, possono essere logorate dal lavoro manuale e persino i maratoneti della tastiera come gli scrittori possono avere impronte digitali scarse o irriconoscibili. Inoltre, non esiste alcuna forma di biometria che non sia stata falsificata con successo da ricercatori di sicurezza e / o criminali.

L’unica area in cui la biometria ha avuto un discreto successo è l’autenticazione del proprietario di un telefono cellulare prima di consentire l’accesso. Il motivo principale di ciò è che il controllo biometrico non lascia mai il telefono. Non esiste un database centrale di scansioni di controllo e non vi sono problemi di privacy.

La biometria non ha avuto il successo previsto. In teoria, dovrebbero aumentare la sicurezza e ridurre l’attrito dell’utente; ma in pratica raramente possono farlo.

Biometria comportamentale

La biometria comportamentale utilizza il fattore basato su ciò che fai piuttosto che su ciò che sei o su ciò che conosci. In generale, richiede ancora l’uso di una password per l’accesso iniziale. Da quel momento in poi, tuttavia, il sistema monitora il modo in cui l’utente interagisce con il computer e con il sito Web. Gli esempi includono la geolocalizzazione dell’indirizzo IP dell’utente. Se, ad esempio, un utente accede in California e quindi dieci minuti dopo accede dalla Cina o dal Sud America, il sistema sa che c’è qualcosa che non va.

Altri dati biometrici comportamentali possono includere l’ora del giorno (se l’utente accede normalmente durante il pomeriggio e improvvisamente accede nelle prime ore del mattino, potrebbe essere di nuovo un’indicazione di qualcosa di sbagliato). La biometria comportamentale può anche includere i modelli di battitura dei tasti dell’utente (ognuno è leggermente diverso), l’uso del mouse o una combinazione dei due.

La biometria comportamentale offre molti vantaggi rispetto ad altre forme di autenticazione, ma con alcune avvertenze. Fondamentalmente, offre autenticazione utente continua a basso attrito piuttosto che autenticazione solo all’accesso. Tuttavia, è più adatta per le imprese piuttosto che per l’uso da parte dei consumatori. L’intelligenza artificiale utilizzata per riconoscere le caratteristiche dei singoli utenti richiede tempo per apprendere un’identità. Funziona tra un’organizzazione e i suoi dipendenti, ma non è adatto alle visite occasionali dei consumatori a un sito Web.

In breve, la biometria comportamentale offre la promessa di un’autenticazione sicura continua a basso attrito della persona per le imprese, ma attualmente poco ai consumatori.

Cellulari

I telefoni cellulari sono stati a lungo visti come un potenziale veicolo per l’autenticazione dell’utente e il moderno telefono cellulare ha tutto il necessario. L’accesso biometrico al telefono lega il dispositivo all’utente / proprietario, quindi qualsiasi autenticazione che coinvolge il dispositivo identificherà automaticamente l’utente. Finora, questo risultato è ottenuto con un attrito molto basso. Non resta che autenticare il dispositivo con il servizio online.

Ci sono due nuove tecnologie che cercano di raggiungere questo obiettivo: ZenKey (ancora in versione beta) di un consorzio di operatori telefonici statunitensi; e Beyond Identity (lanciato per le imprese il 14 aprile 2020 con una versione consumer prevista entro la fine dell’anno).

ZenKEY

ZenKey è una forma di SSO, con il fornitore di servizi di telefonia mobile (AT&T, Sprint, T-Mobile e Verizon) che fornisce il servizio SSO. Esiste automaticamente una relazione di fiducia tra l’utente e il corriere e il corriere detiene già ampie informazioni personali sull’utente.

ZenKey fornisce una connessione sicura tra il telefono cellulare (che è l’utente) e il gestore telefonico. Il corriere reindirizza il traffico verso la destinazione richiesta dell’utente. Se l’accesso è necessario, il corriere accede per conto dell’utente, normalmente senza richiedere ulteriori informazioni o sforzi da parte dello stesso.

Il principale punto debole di ZenKey è la necessità di stabilire relazioni con i fornitori di servizi (banche, negozi al dettaglio, ecc.) a cui gli utenti desiderano accedere. Ci vorrà del tempo. Una volta raggiunto, tuttavia – e purché l’app ZenKey sia stata installata e attivata sul dispositivo, agli utenti verrà semplicemente presentato un altro pulsante. Accanto a “Accedi con Facebook” è presente il pulsante “Accedi con ZenKey”.

Questo sistema soddisfa tutti i requisiti: attrito molto basso, maggiore sicurezza e identificazione della persona che utilizza il dispositivo.

Oltre l’identità

Beyond Identity è una nuova società fondata da luminari di Internet (Jim Clark of Netscape fame e Tom Jermoluk di @Home Network fama) usando una tecnologia consolidata: certificati X.509 e SSL (inventati da Netscape circa 25 anni fa e ancora il fondamento di comunicazioni internet sicure).

Il sistema genera un certificato per ciascun telefono e lo memorizza in modo sicuro nel telefono. L’identità del certificato viene comunicata al servizio online mediante la crittografia SSL. L’identità dell’utente è stata stabilita dall’autenticazione biometrica. Di conseguenza, esiste una solida catena di fiducia dal sito Web attraverso il dispositivo fino a raggiungere l’utente reale, il tutto senza che sia necessaria una sola password.

Il futuro

Le password sono così profondamente integrate nel nostro approccio alla sicurezza che ci vorrà del tempo – e una tecnologia radicalmente nuova – per sostituirle. Ma i loro problemi di sicurezza sono così gravi che devono essere affrontati. I tentativi di migliorare la sicurezza, con il fattore aggiuntivo di una password monouso, aumentano l’attrito degli utenti a tal punto che alla fine e inevitabilmente falliranno.

L’approccio SSO di utilizzare una terza parte per svolgere la maggior parte del lavoro è promettente, ma richiede ancora una password per accedere al servizio SSO. Ciò non riesce ancora a testare l’identificazione dell’utente piuttosto che autorizzare il dispositivo – e se un criminale ottiene tale password, ha accesso a tutti i servizi online dell’utente.

Ciò può essere risolto utilizzando il dispositivo mobile come un ponte tra l’identificazione dell’utente e l’autenticazione del dispositivo.

La biometria comportamentale può essere la soluzione per le aziende. Offre un basso attrito (solo la password iniziale o un dispositivo biometrico), identifica l’utente e il dispositivo e può essere utilizzato per l’autenticazione continua. Ma al momento non è utile nel mercato di consumo. Qui, l’autenticazione basata su telefono cellulare ha un netto vantaggio.

Sembra quindi probabile che fino a quando non emergerà una tecnologia radicalmente nuova, la biometria comportamentale crescerà in ambito aziendale, mentre l’autenticazione tramite telefono cellulare aumenterà nel mercato dei consumatori. Entrambi gli approcci offrono una maggiore sicurezza con attrito ridotto identificando la persona dietro il dispositivo.