“La chiave ci prende in giro fingendo di non appartenere alla serratura a cui appartiene.”
Ramon Gomez de la Serna
15 miliardi di credenziali, di cui almeno 5 “unici”, sono disponibili nei forum e nei market dei cybercriminali. È questo il grido di allarme dato dal Digital Shadows Photon Research Team, dettagliato da una specifica ricerca (disponibile sul loro sito web) durata oltre due anni.
Credenziali raccolte da centinaia di forum, market, “pastebin” sites, che impongono una seria riflessione sullo strumento di sicurezza più (ab)usato sul web: le password.
Il mito della “password sicura e inviolabile”, infatti, non è sufficiente davanti a sistemi vulnerabili e/o mal progettati. Pensiamo, ad esempio, a tutti quei portali che memorizzano le credenziali di autenticazione in chiaro, senza alcuna cifratura, o con una cifratura debole (MD5, SHA1) e senza salt. Oppure agli attacchi di phishing, che sfruttando il social engineering, inducono gli utenti a digitare la propria password in form malevoli che assomigliano a quelli ufficiali.
Secondo alcuni studi, un utente di Internet è iscritto a circa 160 portali: esagerato? No, non credo. In quanti portali vi siete registrati per poi dimenticarvene? Le vostre credenziali, username-email-password, sono probabilmente ancora lì.
Lo standard di autenticazione verso cui stiamo muovendo è il MFA -Multi Factor Authentication-, ovvero l’utilizzo di più sistemi di autenticazione e verifica dell’utente (ad esempio, credenziali + codice OTP inviato via SMS). Oppure, come ad esempio ha adottato WordPress.com, l’invio di una mail contenente un OTP dove l’utente deve cliccare, per poter avere accesso.
I criteri di autenticazione sono:
- qualcosa che conosci (password, PIN, data di nascita…);
- qualcosa che hai (OTP, token….);
- qualcosa che sei (autenticazione biometrica);
e in un contesto di autenticazione a più fattori, devono esserci almeno due di queste criteri, anche più volte (es. password+OTP+Token).
Anche se sistemi come l’invio di OTP si stanno rivelando sempre meno sicuri (attacchi sim-swap o social engineering), l’autenticazione a più fattori è ormai uno standard de facto e tutti gli attori in gioco, utenti e fornitori di servizi, dovrebbero muoversi verso questa direzione nel minor tempo possibile.
Le password rubate, ormai, sono davvero troppe.