Discussione Autenticazione PasswordLess vs MFA vs PasswordOnly: pareri?

[0xbro]

Ho sentito parlare diverse volte di un interesse a transitare verso un mondo virtuale "passwordless", in cui gli utenti non devono più autenticarsi alle piattaforme tramite password/passphrase ma dove invece utilizzeranno meccanismi secondari basati sul possesso (es. cellulare, OTP, token o smart card) o sull'utente in sé (es. impronte digitale, riconoscimento facciale/della voce, dati biometrici).

A differenza della MFA, dove è richiesta sia la password, sia il secondo fattore, in questo caso l'unico requisito è uno degli elementi sopra citati (relativo a come sia stata implementata la piattaforma).

Cosa ne pensate? Credete che sia un meccanismo "più sicuro" e fattibile per il futuro del web oppure pensate che la classica implementazione password + MFA sia la direzione da mantenere nei prossimi anni?

 

[Netcat]

Non cambia niente, assisteremmo solamente a un boom di spyware e trojan per dispositivi Android e iPhone. La vedo assolutamente dura superare i security layers di un iPhone, ma per Android si può già fare qualcosa anche se il target non è rooted

 

[CRYP70]

Secondo me se vengono implementati meccanismi come l’ OTP ad esempio, assisteremo ad un Boom di sim swapping, trojan e chi più ne ha più ne metta. Sicuramente ci sarà quel tocco in più di sicurezza ma per come la penso io più sistemi nuovi escono più exploit usciranno… Ad esempio io lavoro nel settore della telefonia e tutti i giorni sono a contatto con seriali di sim, IMEI , dispositivi mobili documenti ecc.. se qualcuno con “brutte intenzioni” avrebbe il materiale che ho io a disposizione tutti i giorni queste implementazioni di sicurezza non dico che sarebbero inutili ma quasi.. Fatemi sapere cosa ne pensate

 

[Netcat]

Sì infatti, che poi sono metodi di sicurezza che proteggono esclusivamente dagli attaccanti ma non da altri inconvenienti tecnici. Per esempio assumi che si rompe la scheda SIM e devi cambiare numero rifacendo tutta la procedura impicciosa per recuperare l'accesso ai dati, oppure che ti succede qualsiasi cosa che ti mette KO il telefono e non puoi usarlo, insomma al momento il metodo migliore (almeno per me) rimane quello di non essere idioti, ossia non rispondere a chiamate anonime, scaricare app strane, evitare di loggarsi in siti con link strani ecc. e usare semplicemente una password difficile da indovinare

 

[CRYP70]

Sì infatti, che poi sono metodi di sicurezza che proteggono esclusivamente dagli attaccanti ma non da altri inconvenienti tecnici. Per esempio assumi che si rompe la scheda SIM e devi cambiare numero rifacendo tutta la procedura impicciosa per recuperare l'accesso ai dati, oppure che ti succede qualsiasi cosa che ti mette KO il telefono e non puoi usarlo, insomma al momento il metodo migliore (almeno per me) rimane quello di non essere idioti, ossia non rispondere a chiamate anonime, scaricare app strane, evitare di loggarsi in siti con link strani ecc. e usare semplicemente una password difficile da indovinare

Se ad esempio si guasta la sim per un qualsiasi motivo che sia malfunzionamento/aggiornamento ecc, non bisogna cambiare numero bisogna sostituire la sim ma mantenendo lo stesso numero, ma io da sistema posso benissimo fare la “finta” che ti sostituisco la sim e in realtà divento io il propietario del tuo numero di cellulare e tu nemmeno te ne accorgi

 

[0xbro]

A me l'idea di fattori di autenticazione basati su dati biometrici non dispiace come idea e sicuramente terrebbe più al sicuro l'utente medio non tecnico/non troppo improntato alla security. Il dubbio che mi sorge spontaneo però è: quanto questi meccanismi sono sostenibili al giorno d'oggi? Come avete citato, se l'utente smarrisce il telefono (che spesso viene usato come mezzo per verificare l'identità del richiedente), come si fa a recuperare l'accesso? Inoltre qual è l'errore assoluto di questi strumenti? Due gemelli potrebbero accedere vicendevolmente? Voci simili potrebbero creare problemi?

@St3ve sarei curioso di sapere cose ne pensi anche tu? Credi che possano rappresentare un "nuovo futuro"?

 

[CRYP70]

A me l'idea di fattori di autenticazione basati su dati biometrici non dispiace come idea e sicuramente terrebbe più al sicuro l'utente medio non tecnico/non troppo improntato alla security. Il dubbio che mi sorge spontaneo però è: quanto questi meccanismi sono sostenibili al giorno d'oggi? Come avete citato, se l'utente smarrisce il telefono (che spesso viene usato come mezzo per verificare l'identità del richiedente), come si fa a recuperare l'accesso? Inoltre qual è l'errore assoluto di questi strumenti? Due gemelli potrebbero accedere vicendevolmente? Voci simili potrebbero creare problemi?

@St3ve sarei curioso di sapere cose ne pensi anche tu? Credi che possano rappresentare un "nuovo futuro"?

Il tuo pensiero sui gemelli è assolutamente giusto non ci avrei mai pensato in effetti ahaha, sicuramente il Face ID dei dispositivi Apple non penso faccia distinzioni tra due gemelli se sono uguali esteticamente. Per me l’unica opzione che possa garantire un minimo di sicurezza è l’impronta digitale che CREDO non si possa replicare poi mai dire mai

 

[St3ve]

In uno scenario dove si usano solo dati biometrici, anche assumendo di avere a disposizione sensori di alta qualità, l'utente esperto non è più al sicuro. Se sei un criminale, ti arrestano e hai l'hard disk cifrato adesso ti possono chiedere la password e se non gliela comunichi loro sono fottuti; ma in uno scenario dove si usano dati biometrici, ti possono prendere l'impronta del dito o ti scansionare la retina a prescindere dalla tua volontà di collaborare. In uno scenario dove un terrorista non riesce a proteggere i propri dati, nemmeno l'uomo comune ci riesce. Anche se non sei un criminale, mi basta indurti nell'usare il mio sensore fake per fregarti: i dati biometrici sono univoci, non puoi usare una password diversa su ogni servizio, e questo è un problema enorme.

Vedo invece del grosso potenziale in tutti quei sistemi con evidenti multiple points of failure, dove l'accesso tramite dati biometrici magari non è più sicuro ma è sicuramente più pratico. Per salire in macchina e per entrare in casa usiamo le chiavi che si perdono e si dimenticano. Stabilito che i ladri se vogliono entrare spaccano vetri o forzano le serrature (rompendole, senza fare lockpicking) allora tanto vale usare l'impronta digitale e andare in giro senza chiavi.

Quanto questi meccanismi sono sostenibili al giorno d'oggi? Inoltre qual è l'errore assoluto di questi strumenti? Due gemelli potrebbero accedere vicendevolmente? Voci simili potrebbero creare problemi?

Quando si ha a che fare con dei sensori c'è sempre un grosso margine di tolleranza. Il fingerprint sensor sul cellulare funziona anche quando hai le mani umide, secche, screpolate o sporche. Per loro è molto più importante offriti un meccanismo di accesso pratico e veloce più che sicuro: se funzionasse solo una volta su dieci non vorrebbe usarlo nessuno. Non ho dati da mostrare, ma non mi sorprenderei se in una grossa stanza riesci a trovare due persone (paradosso del compleanno) che riescono a sbloccarsi il cellulare tra loro pur avendo l'impronta diversa.

Come avete citato, se l'utente smarrisce il telefono (che spesso viene usato come mezzo per verificare l'identità del richiedente), come si fa a recuperare l'accesso?

Questo in realtà è un grosso problema e assieme al "resetta/recupera la password" credo che sia uno dei meccanismi più difficili da implementare correttamente. Nella 2-factor authentication puoi richiedere degli OTP da usare solo in caso perdi/rompi uno dei device, ma poi ti devi scontrare col problema di proteggere questi OTP (li scrivi su un pezzo di carta? e se te lo rubano? e se lo perdi?).

 

[--- Ra ---]

Partendo dal presupposto che non esistono sistemi di sicurezza perfetti, direi che l'autenticazione a 2 fattori, ad oggi, rimane il metodo più sicuro. Se si conosce la password solo di un utente "vittima", non è possibile accedere senza OTP, che viene inoltrato sul cellulare dell'utente stesso. La vittima, inoltre, potrebbe subire il furto del dispositivo mobile, vanificando così la protezione della 2FA. Un cybercriminale, conoscendo già la password dell'utente, potrebbe intercettare il traffico dati del cellulare "vittima" per captare il codice OTP, ma non è cosa facile. La password senza 2FA è molto più fragile come sistema, ovviamente. Ma l'accesso solo con biometrica proprio no...se qualcuno disponesse dei nostri dati biometrici potrebbe accedere a tutti i nostri account, file, dati ecc.
essendo i dati biometrici univoci. Volendo potremmo fare anche sistemi di autenticazione a 10 fattori, ma bisogna saper trovare un giusto compromesso tra la praticità e la sicurezza, se ogni volta che devo accedere al mio account mi tocca spendere 10 ore per inserire tutti i codici è ovvio che non lo userò più. Si potrebbe pensare di inoltrare il codice OTP non ad un dispositivo fisico (chiavette OTP, cellulari, smart card) che potrebbe essere smarrito/rubato, ma ad un servizio web esterno, magari la e-mail. Se si usano password diverse per servizi diversi, ricevere il codice tramite mail potrebbe essere più sicuro, in quanto possiamo accedere al servizio mail ovunque e non è qualcosa che può essere fisicamente "rubato", a meno che la vittima oltre alla password dell'account si faccia fregare anche quella della mail.