L’autenticazione a due fattori è ancora sicura?

Fino a qualche tempo fa l’autenticazione a due fattori sembrava essere la soluzione migliore per la sicurezza degli utenti in rete. Di recente, invece, i cybercriminali hanno dimostrato di essere molto abili ad aggirare questo sistema, soprattutto attraverso attacchi ben mirati di phishing. Anche se, a quanto pare, sempre più utenti vengono convinti a rivelare il proprio codice di autenticazione utilizzando tecniche di deep fake vocale o reindirizzando le loro chiamate verso numeri fraudolenti. Al di là di questo, molti criminali informatici riescono a forzare il sistema di sicurezza anche con la sola forza bruta, inserendo una dopo l’altra tutte le possibili combinazioni numeriche del codice di un utente. Più rari, seppur più pericolosi, sono gli attacchi Man-In-The-Middle, in grado di immettersi nella comunicazione tra l’app di autenticazione e l’utente, così da intercettarne il codice.

Insomma, data l’abilità sempre più evoluta dei cybercriminali, l’autenticazione a due fattori sembra non essere più tanto sicura come qualche tempo fa. È evidente, quindi, che il sistema richieda di essere rafforzato aumentando il numero dei fattori di verifica per avere un’autenticazione a più fattori. Questi, secondo le raccomandazioni dell’ANSSI, l’Agenzia nazionale francese per la Sicurezza dei sistemi informatici, potrebbero essere di vario tipo:

• fattori noti come una password o una domanda di sicurezza
• fattori prodotti da dispositivi
• elementi biometrici
• gesti o azioni

Le alternative

Allo stato attuale, però, esistono già alcuni sistemi all’alternativi all’autenticazione a due fattori. Tra questi, per esempio, l’autenticazione out-of-band (OOBA), che richiede all’utente una doppia verifica attraverso diversi canali di comunicazione, o la tecnologia di deep voice detection, che permette a un dispositivo di riconoscere una voce vera rispetto a una generata da un’AI. Ma si tratta ancora di sistemi non perfezionati, che rischiano ancora di mettere a repentaglio la sicurezza degli utenti. E questo significa che no, non è ancora il momento di dire addio all’autenticazione a due fattori – come riferisce Stormshield, azienda attiva nella cybersecurity -. Anche se già sappiamo che aggiungerne un terzo o un quarto rappresenterebbe una soluzione ottimale.