Password e autenticazione a due fattori: il pericolo sei tu

Hai creato una password forte, hai tenuto d’occhio i collegamenti e hai abilitato l’autenticazione a due fattori, cosa potrebbe andare storto adesso che tutto è stato fatto a regola d’arte in materia di sicurezza? C’è un unico fattore critico: “tu”.

Come dimostra la relazione dell’NSA sugli sforzi da parte dei russi di violare i computer dei funzionari statunitensi prima delle elezioni presidenziali del 2016, siamo noi stessi – molto più spesso di quanto si possa pensare – la nostra più grande debolezza in materia di sicurezza. Il documento mostra che gli hacker hanno trovato un modo per violare l’autenticazione a due fattori, e con esso colpiscono con estrema semplicità, ovvero: hanno chiesto i codici di verifica e gli sono stati forniti senza esitazione.

“Se la vittima avesse precedentemente abilitato l‘autenticazione a due fattori (2FA)” spiega una diapositiva che spiega in dettaglio l’attacco russo “Il sito web controllato avrebbe invitato la vittima a fornire il proprio numero di telefono e il legittimo codice di verifica che Google di prassi invia al telefono cellulare collegato all’account. ”

Per essere più chiari, dopo aver ingannato le vittime chiedendo loro di immettere il loro indirizzo di posta elettronica e la loro password in un falso sito di Google, gli hacker hanno scoperto che alcune vittime avevano attivato la 2FA sui propri conti. Ciò ha significato che, seppure fossero in possesso della password, gli hacker non sono stati in grado di accedere agli account Gmail in questione – ovvero, non sono riusciti a farlo a meno che non abbiano ottenuto anche i codici di verifica.

“Una volta che la vittima aveva fornito queste informazioni al sito web controllato, sarebbe stato trasmesso ad un legittimo servizio Google, ma solo dopo che gli hacker avevano ormai ottenuto la password della vittima (o i  due fattori, numero di telefono e codice di verifica Google ) associati all’account di posta elettronica specifica”.

In buona sostanza, gli hacker sono stati in grado di bypassare le misure di sicurezza di posta elettronica chiedendo che le vittime dessero loro le chiavi digitali di accesso.

Una volta ottenuto l’accesso ai conti, che erano collegati ad un voto elettronico, gli hacker hanno scritto via posta elettronica ai funzionari delle elezioni da parte degli account hackati, tentando di ingannare gli stessi funzionari nell’apertura dei documenti Word caricati da script che avrebbero compromesso i loro computer.

Si tratta di un tipo di phishing elaborato che ci ricorda che per quante pratiche di sicurezza digitali si possano mettere in atto, tutti quanti possiamo cascarci.

Di fronte alle minacce online quotidiane, la migliore difesa (ad eccezione della creazione di 2FA – che vi raccomandiamo accoratamente) la regola da seguire potrebbe essere la più semplice, ovvero esercitare cautela con ogni singola email ricevuta.

Di fronte agli hacker russi più esperti che cosa si può fare? Beh, è complicato, ma forse evitare di fornire le password delle email, il numero di telefono e il codice di verifica 2FA… potrebbe essere un ottimo inizio per consolidare la propria sicurezza!

 


Password e autenticazione a due fattori: il pericolo sei tu - Ultima modifica: 2017-06-08T10:00:45+00:00 da Francesco Marino

Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic

Recent Posts

BlueIT Innovation Hub: il luogo dove l’innovazione prende forma, mettendo la persona al centro

BlueIT ha inaugurato il suo Innovation Hub nel cuore della Campagna Cremasca. La sede è…

11 ore ago

Asus Zenbook A14: il laptop AI-ready che pesa meno di un chilo

Lo Zenbook A14 è il nuovo ultraleggero firmato ASUS: design in Ceraluminum™, prestazioni AI con…

1 giorno ago

DolphinGemma: g’AI di Google che decifra il linguaggio dei delfini

Google lancia DolphinGemma, un'Ai rivoluzionaria capace di decifrare il linguaggio dei delfini, aprendo nuove prospettive…

4 giorni ago

OpenAI vuole aprire un social: la sfida di Sam Altman ad Elon Musk

OpenAI vuole costruire un social network simile a X. Sam Altman mira a fondere intelligenza…

4 giorni ago

Spoofing, cos’è il nuovo attacco hacker

Dalle email ai call center fasulli, cresce l’uso dello spoofing per truffare utenti e aziende.…

6 giorni ago

HP guida la trasformazione del futuro: AI e personalizzazione per il nuovo paradigma tecnologico

HP ridisegna il futuro del lavoro con l’AI: nuove soluzioni personalizzate migliorano la relazione con…

1 settimana ago

Digitalic © MMedia Srl

Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135

Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011