Discussione Il rischio connesso all'uso di Google Auth, i metodi d'accesso a doppio fattore, e la miglior alternativa per la propria sicurezza

[Netcat]

Questo thread enumera i rischi connessi all'uso di un metodo d'autenticazione a due fattori sul proprio account, (sia metodo dell'SMS/email che di Google Auth):

• Rimanere bloccati fuori in seguito allo smarrimento della password di Google Auth;
• Hai perso il telefono (o la scheda SIM) e non hai più un host che riceve l'OTP;
• Hai perso la password dell'e-mail utilizzata per ricevere gli OTP;
• Vuoi fare ricorso allo staff del sito per accedere ugualmente all'account bloccato, ma il personale è scadente (filosofia=basta che mi pagano), e ti dicono "Non ci possiamo fare niente";
• Se la casella email/o il telefono vengono infettati da un malware, l'attaccante ottiene full access a questi codici, usandoli contro l'end-user. Se la password della casella email coincide con altre password, si può usare inoltre la tecnica del pass spray per prendere più piccioni in una fava

Cinque, ma ben grossi rischi. Una concreta minaccia per la sicurezza. Come risolvere? L'uso dell'OTP è un arma a doppio taglio. Se da un lato offre maggiore protezione, dall'altro lato si può ritorcere contro l'end-user.

Il metodo migliore per tenere in sicurezza i propri account, è l'utilizzo di una password che dovete imparare a memoria. La mente umana è l'hard disk più sicuro per conservare una password.

Questa password dev'essere lunga circa 15 caratteri, deve comprendere una lettera maiuscola, almeno un numero e un carattere speciale (come ad esempio un punto).
Ma soprattutto, non deve essere riconducibile a qualcosa che si può associare a voi (come un vostro hobby, o un vostro interesse), perché ricollegare la propria pass a queste cose, apre l'opportunità per costruire una wordlist. Le wordlist non piacciono neanche a me, odio i bruteforce. Possono richiedere 5 secondi come 5 millenni, tuttavia qualcuno ci prova e (seppur di rado) il bruteforce ogni tanto colpisce.

 

[JunkCoder]

Sono daccordo, si è spinto molto su 2FA perlopiù a causa della poca fantasia nel scegliere le password e della pigrizia nel cambiarla senza riusarla per l'utente medio. In generale preferisco usarlo solo per gli account più sensibili, in quanto comunque dà una resistenza extra nel caso di furto della password (keylogger, shoulder surfing ecc). Per quanto riguarda il rischio di perdere l'OTP è sufficiente conservare un backup della chiave segreta (contenuta nel QR e di solito ripetuta testualmente), in questo modo puoi impostarlo su un nuovo dispositivo. Per i malware è invece uno dei pochi casi dove è utile perché in teoria dovresti usare due dispositivi diversi, quindi andrebbero infettati entrambi per essere totalmente compromessi. Invece il two factor di cui non mi capacito è quello via SMS che dovrebbe essere bandito in tutto il mondo per quanto è pessimo, sia per i motivi che hai già elencato sia perché il codice ti viene inviato in chiaro e può essere intercettato.

 

[Netcat]

Da un test che avevo fatto sembra che la casella degli SMS possa essere violata semplicemente con un po' di social engineering. Basta che gli mandi un app fake che chiede il permesso di leggere i messaggi e puoi scaricare tutto il log degli SMS. Il livello di severità è tragicomico se l'end-point sta conservando anche delle password nella scheda SD (salvate come immagini, o un appunto)

 

[ElectricDreamer]

Per migliorare la sicurezza degli account, consiglio di disattivare ovunque la 2FA, di non usare assolutamente un password manager e di riciclare le password, magari cambiando solo il carattere finale

 

[Netcat]

Si ricicla il denaro sporco non le password!

 

[JunkCoder]

Si ricicla il denaro sporco non le password!

ElectricDreamer era sarcastico. Io ero serio, la MFA fatigue non va presa alla leggera, è un'esagerazione metterlo ovunque, ormai anche videogame e siti di news lo offrono. Un password manager con ottime password è molto più efficace, sia per non riusare nemmeno parzialmente vecchie password sia per gestire rapidamente password lunghe e complicate. Finchè il mio device è sicuro sento più sicuri i siti con password strong che siti con un pin del cavolo + un OTP.

 

[Netcat]

Eh già, i password manager e i 2FA sono molto sicuri...

Messaggio unito automaticamente: 27 Dicembre 2022

Che poi l'altro giorno su Discord mi aveva contattato uno che aveva smarrito la password di Google Auth, e ha dovuto rifare due profili.
Google Authenticator, morely known as Your Account Terminator

 

[ElectricDreamer]

 

[Netcat]

Vabbè grazie, ma non è questo quello che intendevo io nel thread iniziale.

Cioè tutto quello che dicevo alla fine era che secondo me è meglio sensibilizzare l'user allo sfruttamento della mente come miglior password manager, che alla fine è un esercizio anche utile per la memoria ricordare una password complessa e difficile da indovinare. Ok, ti lascio passare che hai ragione tu in caso il server che conserva questa pass è vulnerabile a qualcosa, e a quel punto solo il 2FA può scongiurare la catastrofe. Ma assumendo che non ci siano falle gravi, sarebbe impossibile riuscire ad indovinare una password di 20 caratteri, e non riciclata ovviamente

Che tu metti 2FA, password managers o altri tools in mano a gente che manco li può/o non li sa usare e si dimentica pure la password del manager/o se la fa hackerare con attacchi di phishing (anche scadenti), è come mettere una pistola in mano ad un uomo che non può sparare, costui prima o poi renderà l'arma inutile, perché gli si incepperà e non potrà più sbloccarla. Prima fai un corso per imparare a sparare, poi puoi fare il cecchino dell'ISIS. (sono contrario alle armi, è solo per dare enfasi)

Fidati @ElectricDreamer , parola del saggio.

 

[JunkCoder]

in caso il server che conserva questa pass è vulnerabile a qualcosa, e a quel punto solo il 2FA può scongiurare la catastrofe

Non è così, in caso venga bucato il server la chiave segreta dell'OTP viene rubata (il server deve conoscerla), mentre della password dovrebbero avere solo l'hash (non serve che il server la conosca) a meno che non inseriscono codice malevolo senza essere scoperti che logga le pass in chiaro man mano che gli utenti loggano. In questo caso il 2FA non fa alcuna differenza ma alla fine una volta che si ha in pugno il server si può già far di tutto col profilo di un utente.
è innegabile che c'è chi non sappia usare questi strumenti ma è anche innegabile che per quanto buona sia la tua memoria non puoi battere un tool che salva 100 password lunghe 30 caratteri con simboli completamente random. Da piccolo facevo anch'io così, ho memorizzato una decina di password chilometriche ma a un certo punto non puoi andare avanti o rischi di dimenticare quelle che non usi da troppo tempo e al giorno d'oggi tutti abbiamo veramente troppi account.

 

[Netcat]

Non è così, in caso venga bucato il server la chiave segreta dell'OTP viene rubata (il server deve conoscerla)

Si si giusto

Però sul fatto di usare le app per detenere le password ancora non sono convinto, tutti i ricercatori di sicurezza hanno dimostrato come roba tipo LastPass può essere usata per fare lateral movement.

 

[--- Ra ---]

Oggi abbiamo 10 mila account con tante password differenti ed è impossibile/scomodo ricordarle tutte a memoria. L'utilizzo di un password manager è la cosa più sensata da fare. Se utilizzi una master-key forte e stai attento a non contrarre virus puoi stare relativamente tranquillo. Per quanto riguarda il 2FA, ne abbiamo parlato già diverse volte sul forum, ha delle vulnerabilità come QUALSIASI altra cosa: protocolli, sistemi informatici, sistemi di autenticazione ecc. Però, nonostante questo, è il miglior compromesso per la sicurezza. E' impossibile garantire un sistema di autenticazione al 100% sicuro perché ci sono miliardi di variabili nel mondo: a partire dall'utente idiota che è capace di smarrire pure la sua testa oltre all'email/cellulare per l'OTP.

 

[Netcat]

Cioè per farvi un esempio, io qui ho un logins.json che avrà raggiunto circa 400 KB (non so se rendo l'idea), conterrà circa 200-300 password. Di queste non ne ricordo neanche una, non uso una master password, non uso codici a doppia autenticazione... Tuttavia, non sono mai stato hackerato. Mai.

Sono sempre stato molto attento a come scarico i file da fonti sconosciute, come li eseguo, dove li eseguo. Mai stato hackerato, in tutto che basta scaricare 3 file in totale per farmi il pwning. La vera sicurezza siamo noi, non i tool. Ricordatevelo.

 

[--- Ra ---]

Cioè per farvi un esempio, io qui ho un logins.json che avrà raggiunto circa 400 KB (non so se rendo l'idea), conterrà circa 200-300 password. Di queste non ne ricordo neanche una, non uso una master password, non uso codici a doppia autenticazione... Tuttavia, non sono mai stato hackerato. Mai.

Sono sempre stato molto attento a come scarico i file da fonti sconosciute, come li eseguo, dove li eseguo. Mai stato hackerato, in tutto che basta scaricare 3 file in totale per farmi il pwning. La vera sicurezza siamo noi, non i tool. Ricordatevelo.

Ma è banale che se l'utente non ha un minimo di buon senso non c'è tool che possa salvarlo. Qui, però, stiamo parlando di un'altra cosa: sopperire alle limitate capacità della mente umana con un tool. Non significa farsi sostituire completamente dal computer, ma farsi aiutare. È umanamente impossibile memorizzare che so...200 password, ognuna con più di 20 caratteri: non siamo macchine. Per quanto riguarda i password manager puoi stare tranquillo perché anche se craccassero la master-key (cosa improbabile se usi una password forte, eviti phishing e keylogger) dovrebbero fare bruteforce/attacchi a dizionario sulle password di tutti gli altri account. Buona fortuna a fare il bruteforce di una password un minimo complessa e se è una password originale anche con gli attacchi a dizionario non concretizzi nulla.

 

[Netcat]

Ma infatti io memorizzo solamente quelle dei login che mi servono di più, quelle che uso di meno le lascio salvate nel browser. Niente last pass, niente google auth, niente codici.

Cioè se non ci credete vi faccio gli screenshot delle password censurandole, non è che io vi dico queste cose per farvi "abbassare le braghe"... Ogni giorno ricevo 2-3 email di phishing (sempre dallo stesso autore), che più si ingegna più fa buchi nell'acqua. Poi a novembre 2021 un tizio aveva provato ad hackerarmi con la scusa di AnyDesk (un tool risaputo per fare lateral movement nelle tecniche di scam)... Io in tutta risposta gli ho detto che lui doveva contattarmi con una versione vecchia dell'app, fingendo di avere il PC di legno. Con questa scusa sono riuscito ad inviargli un installer con una webshell e gli ho cambiato la password di Windows (poi lui ha pianto e gliel'ho restituita)

Cioè vedete? Se siete furbi non solo prevenite gli attacchi, ma li ritorcete contro il malintenzionato addirittura. Poi se escono robe fatali tipo Proxyshell o EternalBlue pace, lì puoi solo chiudere Exchange e SMB finché non pubblicano la patch (già esiste), è solo per rendere l'idea, perché gli exploit RCE pre-auth sono fatali eh.

 

[--- Ra ---]

Ma infatti io memorizzo solamente quelle dei login che mi servono di più, quelle che uso di meno le lascio salvate nel browser. Niente last pass, niente google auth, niente codici.

Cioè se non ci credete vi faccio gli screenshot delle password censurandole, non è che io vi dico queste cose per farvi "abbassare le braghe"... Ogni giorno ricevo 2-3 email di phishing (sempre dallo stesso autore), che più si ingegna più fa buchi nell'acqua. Poi a novembre 2021 un tizio aveva provato ad hackerarmi con la scusa di AnyDesk (un tool risaputo per fare lateral movement nelle tecniche di scam)... Io in tutta risposta gli ho detto che lui doveva contattarmi con una versione vecchia dell'app, fingendo di avere il PC di legno. Con questa scusa sono riuscito ad inviargli un installer con una webshell e gli ho cambiato la password di Windows (poi lui ha pianto e gliel'ho restituita)

Cioè vedete? Se siete furbi non sono prevenite gli attacchi, ma li ritorcete contro il malintenzionato addirittura. Poi se escono robe fatali tipo Proxyshell o EternalBlue pace, lì puoi solo chiudere Exchange e SMB finché non pubblicano la patch (già esiste), è solo per rendere l'idea, perché gli exploit RCE pre-auth sono fatali eh.

Anch'io conosco a memoria le password dei miei principali account, però vedo che non hai colto il succo di quello che volevo dire. Finché siamo io e te...magari abbiamo 3/4 account diversi con 3/4 password differenti per ogni servizio, ma se i numeri cominciano a diventare più grandi? 10? 20? Supponi che tutti gli account abbiano la stessa importanza. Come fai? Memorizzi 20 password diverse?

 

[Netcat]

Beh no, a quel punto non puoi. Onesto. Se devi ricordarti tantissime password diverse, alla fine cedi. Non ce la fai.
Mi riferivo a quelle più importanti, quelle che usi più spesso, quelle si le impari a memoria. Se devi impararne 50 non ce la fai. Ma per curiosità, usi 50 profili al giorno? Io mi riferivo solo a quelle che usi di più, è ovvio che non puoi imparare tantissime password a memoria.

 

[--- Ra ---]

Beh no, a quel punto non puoi. Onesto. Se devi ricordarti tantissime password diverse, alla fine cedi. Non ce la fai.

Ecco, è per questo motivo che sono nati i password manager. Ti danno la possibilità di memorizzare, in modo sicuro, un numero indefinito di password aventi complessità anche molto alte. Cosa che a mente non puoi fare. È questo il punto. È una misura al 100% sicura? No, come tutte le cose. Ma è un buon compromesso. La tua soluzione "alternativa" potrebbe andare bene in casi limitati per cui, probabilmente, non ho neanche bisogno di un password manager (ovvero se ho 2/3 account). E dico "potrebbe" perché dipende anche dal livello di paranoia dell'utente: se decidessi di utilizzare una password di 40 caratteri per ogni account non potrei nemmeno memorizzarne 2 di password e avrei bisogno di un password manager ugualmente.

 

[Netcat]

Bravo, e che fine fa il password manager in mano a uno che non sa gestirlo? Lo ripeto, l'altro giorno uno mi è venuto a piangere su Discord, per la password di Google Auth. Non l'ha voluta imparare a memoria. L'ha dimenticata. Puoi gentilmente ammettere che almeno al 50% ho ragione?

 

[--- Ra ---]

Bravo, e che fine fa il password manager in mano a uno che non sa gestirlo? Lo ripeto, l'altro giorno uno mi è venuto a piangere su Discord, per la password di Google Auth. Non l'ha voluta imparare a memoria. L'ha dimenticata. Puoi gentilmente ammettere che almeno al 50% ho ragione?

Cito quello che hai detto tu: "Cioè tutto quello che dicevo alla fine era che secondo me è meglio sensibilizzare l'user allo sfruttamento della mente come miglior password manager". Posso darti ragione? Vorrei...ma è oggettivo che non stanno così le cose e te l'ho scritto prima il perché. Poi hai ragione nel dire che bisogna utilizzare un minimo la memoria, ma quello è un altro discorso. Se il consiglio del tuo post è "Utilizzate la memoria al posto dei password manager", come posso darti ragione? Riflettici un attimo. Lascia perdere il caso umano che si è rivolto a te. Contano le statistiche e per la maggior parte delle persone è conveniente usare un password manager.

 

[Netcat]

Contano le statistiche e per la maggior parte delle persone è conveniente usare un password manager.

Esatto, basta che non ci adagiamo su questa comodità, diventando tutti come il tizio che mi è venuto su Discord. Te lo immagini? Hai tutti gli strumenti per difenderti da un attacco, ma ti fai l'auto-pwn. Ricordiamoci che abbiamo un cervello che funziona prima di tutto, poi viene il resto.