L’autenticazione a più fattori è un elemento fondamentale per la sicurezza ma, da sola, non basta. Benché siano richieste tecnologie e conoscenze non alla portata di tutti, può essere violata. Inoltre, grazie all’affinarsi delle tecniche di hacking mediante Intelligenza artificiale e il deepfake che consente di imitare volti e voci, la cyber security in senso ampio viene messa in difficoltà.
Per aumentare il livello di impenetrabilità di un sistema si può optare per declinazioni più evolute dell’autenticazione a più fattori (MFA), rappresentate OTP, TOPT e HOTP. Tuttavia, ci sono anche noti dolenti, rappresentate dai Bot OTP.
L’intelligenza artificiale negli attacchi informatici: tecniche offensive e strategie di difesa
Cosa è una OTP
Acronimo di “One-Time-Password”, le OTP sono password che possono essere usate una sola volta e questo, già da solo, costituisce una garanzia in più rispetto alle password tradizionali, sempre identiche e utilizzabili per un periodo di tempo variabile a seconda delle policy aziendali.
Finanza Digitale: proteggiti dagli hacker (e dalle sanzioni) con il DORA
Le OTP sono una combinazione di caratteri numerici o alfanumerici più difficili da violare perché possono essere usate una sola volta e, di norma almeno, vengono inviate a un dispositivo in dotazione all’utente.
Fino a qui si tratta tipicamente di un’autenticazione a più fattori. Tuttavia, le OTP sono di due tipi:
- TOTP, password monouso valide per un periodo limitato di tempo (secondi o minuti)
- HOTP, password monouso con hash
Un server o un generatore di password creano codici monouso temporanei che vengono inviati agli utenti via sms, email o mediante apposita app per dispositivo mobile.
Le TOTP
Sono password monouso di tipo “Time-based”, ovvero dalla durata limitata che – solitamente – sono valide per 15-60 secondi ma, a seconda della risorsa a cui si accede e a dipendenza delle policy, può variare fino a diversi giorni. Una volta scaduto il tempo assegnato, il codice non è più utilizzabile ed è necessaria l’assegnazione di uno nuovo. Più la vita del codice è breve, più è difficile violarlo.
Subentrano così due discriminanti: una persona non autorizzata deve ottenere il codice in un lasso di tempo ristretto. Pure essendo in possesso del dispositivo mobile sul quale l’utente riceve la TOTP (smartphone, generatore di codice, e così via), deve potervi accedere in fretta. Due condizioni non impossibili ma difficili a verificarsi.
Le HOTP
Sono password monouso basate su HMAC, ossia un codice di autenticazione che fa leva su una funzione di hash. Mediante HMAC sono garantite l’integrità e l’autenticità di un messaggio.
La versione semplice vuole che la password HOTP possa essere aggiornata a mano ed è tipica degli authenticator (come quello di Google) che consentono di generare un nuovo codice su richiesta espressa dell’utente.
La tecnologia per generare password HOTP non è legata a una specifica funzione di hash, tant’è che le più usate sono MD5 e SHA-1, non più ritenute sicure. Inoltre, le HOTP risalgono al 2005 e sono quindi antecedenti alle TOTP (2008) e ciò significa che quest’ultima è un’evoluzione della prima, nonostante l’hashing suggerisca un elevato livello di sicurezza.
Per questo, nel corso degli anni, sono le HOTP sono state lentamente accantonate in favore delle più pratiche e sicure TOTP.
Le HOTP e le TOTP sono comunque da considerare robuste e le prime sono vantaggiose soprattutto per chi ha problemi motori e farebbe fatica a inserire un codice in un lasso di tempo breve. Le differenze tra HOTP e TOTP sono poche ma significative.
I Bot OTP e gli accorgimenti utili
I Bot OTP sono programmi usati per ottenere le password monouso e quindi accedere ai sistemi al posto degli utenti autorizzati. Sono spesso associati a tecniche di phishing mediante le quali viene contattata la vittima e indotta con l’inganno a condividere il proprio codice OTP.
I rimedi sono sempre i soliti: non c’è un solo motivo al mondo per rilasciare le proprie credenziali (nome utente e password) e il proprio codice OTP se non, al limite, all’help desk dell’azienda per la quale si lavora. Considerando che i Bot OTP sono parte integrante di campagne phishing, vale sempre la norma secondo la quale non si deve cliccare su link contenuti in email sospette o delle quali non si conosce il mittente.
Un’alternativa valida è la TOTP con un breve di scadenza del codice, per esempio, 15 secondi. Un lasso sufficiente a un utente per digitarlo quale credenziale di accesso a un sistema ma un tempo molto risicato per essere comunicato a un terzo affinché concluda la procedura di autenticazione.
Conclusioni
Implementare una procedura di accesso a una risorsa tramite nome utente, password e codice OTP, TOTP oppure HOTP è una strategia valida, ancorché non possa essere considerata la sola difesa attuata da un’organizzazione.
Per renderla ancora più efficace è consigliabile che il codice generato non venga inviato tramite sms (che può essere visto da occhi indiscreti) ma mediante apposite app per dispositivi mobili a loro volta protetti da accesso biometrico. Questo impone un livello di certezza in più.
@RIPRODUZIONE RISERVATA