Discussione Autenticazione a due fattori

Pivot

Utente Iron
2 Agosto 2021
31
2
12
15
Oggi mi sono chiesto come può l'autenticazione a due fattori proteggere meglio il nostro account? Inizio a spiegarmi meglio.

Cos'è l'autenticazione a due fattori?
L'autenticazione a due fattori (chiamata anche verifica a due passaggi) serve per aggiungere un ulteriore livello di sicurezza al tuo account, qualora venisse scoperta la tua password.
L'autenticazione a due fattori consiste nel impostare un passaggio di verifica aggiuntivo quando si tenta di accedere ad un account, prendiamo come esempio il nostro telefono, ciò fa si che quando tentiamo di accedere al nostro account, il sito "x" manda una conferma aggiuntiva al vostro telefono chiedendo al telefono di confermare l'accesso al nuovo dispositivo.

E' fin qui tutto okay, il problema è il seguente: se il telefono venisse rubato cosa succederebbe? Praticamente non avresti possibilità di accedere al tuo account, e l'unica opzione sarebbe di trovare un pc che sia rimasto connesso al tuo account, però se il tuo browser cancella tutti i cookie/cache automaticamente quando lo vai a chiudere come possiamo accedere al nostro account, se la chiave principale che in questo caso è il nostro telefono ci sia appena stato rubato?

Il fatto è che il telefono, è la cosa più vulnerabile che noi possiamo avere (quando si ha l'autenticazione a due fattori tramite il telefono), perchè se un giorno perderemmo oppure ci rubano il telefono noi ci ritroveremo senza un accesso al nostro account (gmail, ebay, dropbox, instagram ecc..).
Ed è una cosa che potrebbe succedere da un giorno all'altro, visto che il telefono è qualcosa che portiamo sempre appresso.
La mia domanda è: Come fa un dispositivo usata come chiave primaria per accedere ai nostro account, essere così vulnerabile?

In conclusione a questo mio pensiero personale mi sono risposto con: l'autenticazione a due fattori è veramente una cazzata.

Però voglio sapere la vostra, se ho ragione o meno, oppure se ho detto una cazzata colossale.
 

ElectricDreamer

Utente Electrum
23 Febbraio 2017
406
4
148
116
Ultima modifica:
E' fin qui tutto okay, il problema è il seguente: se il telefono venisse rubato cosa succederebbe? Praticamente non avresti possibilità di accedere al tuo account, e l'unica opzione sarebbe di trovare un pc che sia rimasto connesso al tuo account, però se il tuo browser cancella tutti i cookie/cache automaticamente quando lo vai a chiudere come possiamo accedere al nostro account, se la chiave principale che in questo caso è il nostro telefono ci sia appena stato rubato?
Per questo motivo è sempre consigliato salvare su un dispositivo differente dal telefono i codici di backup, che vengono generati dopo aver attivato la 2fa, oppure attivarla su più dispositivi contemporaneamente. La soluzione migliore è però quella di utilizzare la 2fa con token hardware, come le chiavi Yubikey: a differenza del telefono non possono essere compromesse, sono economiche (quindi facile averne una di backup) e difficilmente possono essere rubate. La 2fa non è una cazzata, anzi è l'unico metodo per evitare il phishing ed il furto di credenziali ed è stata ideata proprio per coprire le "vulnerabilità" delle password, che invece sì sono una (mezza) cazzata
 
  • Mi piace
Reazioni: 0xbro

Pivot

Utente Iron
2 Agosto 2021
31
2
12
15
Per questo motivo è sempre consigliato salvare su un dispositivo differente dal telefono i codici di backup, che vengono generati dopo aver attivato la 2fa, oppure attivarla su più dispositivi contemporaneamente. La soluzione migliore è però quella di utilizzare la 2fa con token hardware, come le chiavi Yubikey: a differenza del telefono non possono essere compromesse, sono economiche (quindi facile averne una di backup) e difficilmente possono essere rubate. La 2fa non è una cazzata, anzi è l'unico metodo per evitare il phishing ed il furto di credenziali ed è stata ideata proprio per coprire le "vulnerabilità" delle password, che invece sì sono una (mezza) cazzata
Dispositivo differente? ad esempio?
Non credo che il 2fa si possa attivare su più dispositivi contemporaneamente, o almeno sull'account google non si può fare. Ammetto che l'unica opzione valida è quello di usare il token di sicurezza, ma continuo a pensare che il 2fa sia una cazzata colossale (a parte il token di sicurezza).
Ammetto che è utile per evitare il phising, ma quello che voglio dire è che i metodi utilizzati per il 2fa sono una cazzata.

Prendo come esempio google, i metodi per utilizzare il 2fa sono:

-Messaggi di Google
-Messaggio di testo o vocale (Numero del telefono)
-App Authenticator (Applicazione di google)
-Token di sicurezza

E' l'unico metodo valido e sicuro è il token di sicurezza. Il resto dipende tutto dal tuo telefono, se perdi il tuo telefono e non hai il token di sicurezza sei fottuto.
 

ElectricDreamer

Utente Electrum
23 Febbraio 2017
406
4
148
116
Il resto dipende tutto dal tuo telefono, se perdi il tuo telefono e non hai il token di sicurezza sei fottuto.
Vero, ma al posto di Google Authenticator potresti usare un'applicazione come andOTP che permette di fare un backup dei codici 2fa, da ripristinare od esportare su un altro dispositivo, come un telefono secondario. Inoltre i codici di backup che ti fornisce Google servono proprio se non hai più il telefono
 

Symon_RS

Utente Electrum
8 Agosto 2016
645
14
176
181
Diciamo che il protocollo è valido, è la sua messa a terra che, a volte, è vacillante. Comunque io tutta questa criticità sulla sicurezza dei dispositivi mobili non la vedo. Se sei un utente non avanzato ma per lo meno informato ti è sufficiente non scaricare app da fonti diverse dall'app store, mentre nel caso di Apple ancora meglio dato che è blindato.
 
  • Mi piace
Reazioni: 0xbro

Pivot

Utente Iron
2 Agosto 2021
31
2
12
15
Vero, ma al posto di Google Authenticator potresti usare un'applicazione come andOTP che permette di fare un backup dei codici 2fa, da ripristinare od esportare su un altro dispositivo, come un telefono secondario. Inoltre i codici di backup che ti fornisce Google servono proprio se non hai più il telefono
Ah okay, non pensavo che esistessa un'app del genere, grazie mille :)

Diciamo che il protocollo è valido, è la sua messa a terra che, a volte, è vacillante. Comunque io tutta questa criticità sulla sicurezza dei dispositivi mobili non la vedo. Se sei un utente non avanzato ma per lo meno informato ti è sufficiente non scaricare app da fonti diverse dall'app store, mentre nel caso di Apple ancora meglio dato che è blindato.
Non intendo criticità a livello software, rileggiti ciò che ho scritto.