Questo post del blog di Ross Anderson affronta un problema molto attuale, cioè l’utilizzo dell’autenticazione two-factor per rendere inefficace il phishing. Anche qui si sottolinea nuovamente che l’autenticazione two-factor è vulnerabile almeno al man-in-the-middle. Si tratta di una tecnica ancora poco utilizzata in questo ambito, ma non c’è da dubitare che man mano che i siti di phishing evolveranno (e non potranno che evolvere) diventerà prassi, rendendo l’uso dei meccanismi di one-time-password del tutto inefficaci. Se si considerano gli investimenti richiesti per offrire ai clienti un’autenticazione two-factor, ci si può chiedere se sia una scelta conveniente. Soluzioni come smart card e certificati SSL lato cleint sono efficaci contro il man-in-the-middle, anche se non resistono alla compromissione del PC. La soluzione two-channels, il cui il secondo canale è costituito da un sms (sul cellulare, non ricevuto via web o VoIP!), è forse più complessa da utilizzare, ma non dimentichiamo che gli italiani sono gli appassionati di cellulari per eccellenza. È anche di minore impatto “tranquillizzante”, ma è anche vero che attualmente gli sms sono già probabilmente il sistema più efficace per rilevare immediatamente l’utilizzo di carte clonate. L’utilizzo di SMS di conferma può proteggere in buona parte anche nei confronti della compromissione del PC, vantaggio decisamente non da poco. E, a parte la battuta sulla “psicologia dei giovani”, sono d’accordo con lo studente che considera ottimale la scelta del certificato SSL lato client + sms, anche se l’utilizzo del certificato SSL lato client presenta a sua volta i soliti problemi di “usabilità”, che forse unito all’SMS cominciano ad rendere effettivamente l’insieme una soluzione complessa. Naturalmente anche l’autenticazione two-channels si sta per scontrare con la “convergenza” dei due canali, in cui l’accesso via web e quello per la telefonia tradizionale convergono, vuoi per via del Wireless+VoIP, vuoi perché l’accesso web avviene via smartphone. Sono interessanti anche alcuni dei commenti.
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
