Da asporto chiave
- Il crimine informatico è in aumento da quasi mezzo decennio, con attacchi di phishing particolarmente problematici nell'ultimo anno.
- Dal 2016, Twitter ha subito diversi attacchi informatici di alto profilo e ora offre agli utenti l'opzione di chiavi di sicurezza fisiche.
- La società afferma che il metodo è uno dei modi più efficaci per proteggere un account.
Dopo quasi mezzo decennio di crescente criminalità informatica e un anno segnato da violazioni di alto profilo, Twitter offre una nuova funzionalità di sicurezza che potrebbe aiutare a mitigare il rischio di attacchi mirati agli account degli utenti.
Secondo un post sul blog pubblicato il 30 giugno, il gigante dei social media offre ora agli utenti la possibilità di rendere le chiavi di sicurezza fisiche il loro unico metodo di autenticazione a due fattori (2FA), una mossa che potrebbe aiutare a rendere gli account più sicuro eliminando il precedente requisito per metodi di backup più deboli.
Tuttavia, gli esperti avvertono che ogni metodo di 2FA ha dei compromessi.
"Il problema è che nessuno di questi [metodi di autenticazione] è davvero così assoluto come la gente pensa che sia", ha detto a Lifewire Joseph Steinberg, un esperto di sicurezza informatica da 25 anni e autore di diversi libri tra cui Cybersecurity for Dummies, telefono.
Chiavi di sicurezza fisica, spiegate
Secondo Steinberg, esistono diversi tipi di autenticazione a più fattori, ciascuno con i propri vantaggi e difetti.
Le chiavi di sicurezza fisiche, come quelle offerte da Twitter, sono piccoli dispositivi che gli utenti devono collegare fisicamente o sincronizzare con i propri dispositivi personali per accedere ai propri account, proprio come le chiavi dell'auto. Ciò offre il vantaggio di impedire agli hacker di accedere in remoto agli account tramite attacchi di phishing o malware.
…È improbabile che qualcuno cambi ora quando ci sono meccanismi più semplici che sono considerati abbastanza buoni.
Secondo il post del blog di Twitter, le chiavi "possono differenziare i siti legittimi da quelli dannosi e bloccare i tentativi di phishing che gli SMS oi codici di verifica non farebbero".
In teoria, le chiavi offrono la soluzione di sicurezza più efficace per gli utenti, ma sono anche una delle soluzioni meno convenienti per gli utenti di tutti i giorni.
"Il principale svantaggio è che ora devi portare la chiave oltre al telefono", ha spiegato Steinberg. "Quindi, se vuoi twittare dalla spiaggia, porti con te il telefono e la chiave di sicurezza."
Steinberg ha anche avvertito che le chiavi di sicurezza fisiche comportano il rischio di essere perse, il che potrebbe comportare il blocco di un utente dal proprio account.
Bilanciare i compromessi
Metodi di autenticazione meno sicuri, come l'invio di un codice di accesso al cellulare, sono spesso più convenienti per gli utenti rispetto alle chiavi di sicurezza fisiche, ma possono comportare un rischio maggiore.
Steinberg ha affermato che gli hacker possono intercettare i codici SMS attraverso metodi come lo scambio di SIM, in cui i ladri rubano il numero di telefono di un utente e ricevono i codici sul proprio dispositivo.
"Se ti affidi ai messaggi di testo e qualcuno in qualche modo ruba il tuo numero di telefono e inizia a ricevere i tuoi messaggi di testo, hai un problema perché riceveranno i tuoi codici e lo saranno in grado di reimpostare le password", ha detto Steinberg.
Le app di autenticazione che generano un codice di accesso monouso sono un altro metodo popolare di 2FA, ma comportano comunque il rischio di accesso da parte degli hacker.
"Se un utente accede a un sito di phishing e inserisce quel codice, il phisher ha quel codice e può trasmetterlo immediatamente al sito reale", ha spiegato Steinberg, aggiungendo che c'è anche il rischio di perdere telefono e quindi perdere l'accesso all'app.
Anche metodi più complessi, come l'autenticazione biometrica tramite impronta digitale, possono comportare dei rischi.
"Le tue impronte digitali sono ovunque sul telefono quando lo tocchi", ha detto Steinberg, spiegando che ladri sofisticati possono sollevare le tue impronte e usarle per accedere a un dispositivo. "Il sensore di impronte digitali non ha un modo per determinare se si tratta di un vero essere umano che mette il dito lì, rispetto a qualcuno che mette l'immagine di un'impronta digitale che è stata sollevata dal telefono."
Soppesare i vantaggi
A causa dell'inconveniente di portare con sé una chiave di sicurezza fisica aggiuntiva, Steinberg ha affermato di non vedere la maggior parte degli utenti di tutti i giorni fare il passaggio offerto da Twitter.
Il problema è che nessuno di questi [metodi di autenticazione] è davvero così assoluto come la gente pensa che sia.
"La mia esperienza è stata che anche le cose che sono una piccola seccatura quando si tratta di sicurezza, a meno che qualcuno non sia stato violato e abbia subito gravi conseguenze, è improbabile che qualcuno cambi ora quando ci sono meccanismi più facili che sono considerato abbastanza buono", ha detto Steinberg.
Tuttavia, Steinberg ha affermato che gruppi specifici di utenti, come aziende e individui di alto profilo, potrebbero trarre vantaggio dalle chiavi di sicurezza fisiche.
Anche se non esiste una soluzione perfetta per proteggere l'account dei social media di un utente, Steinberg ha sottolineato che qualsiasi forma di autenticazione a più fattori è meglio di nessuna, poiché gli account social vengono spesso utilizzati per accedere ad altri account collegati attraverso piattaforme.
"Se oggi non stai utilizzando l'autenticazione a due fattori per i tuoi account sui social media, attivala", ha detto Steinberg.