In questo articolo di approfondimento proviamo a spiegare perché usare le Yubikey o qualsiasi altra chiave di autenticazione fisica è fondamentale per la sicurezza online.
Con la nostra presenza online che va ad aumentare di giorno in giorno, è fondamentale assicurarsi che nessuno acceda ai nostri account “rubando le nostre credenziali” e spacciandosi per noi. L’utilizzo di password lunghe e complicate è un ottimo inizio, specialmente se fatto attraverso un password manager che ci allevia dalla fatica di ricordarle tutte. Tuttavia, è solo una parte di un sistema di autenticazione che può essere molto più robusto se unito con l’autenticazione multi fattore (MFA), spesso confusa con l’autenticazione a due fattori (2FA).
Cos’è la MFA
Ne abbiamo parlato in passato ma, per chi non lo sapesse, l’autenticazione multi fattore richiede per accedere due o più dei seguenti dati:
- Qualcosa che si sa (email e password)
- Qualcosa che si è (impronta digitale o scansione del viso)
- Qualcosa che si ha (codice OTP inviato via SMS o generato da un’app, notifica su uno smartphone registrato oppure un token fisico)
Insomma, la 2FA non è altro che una sottocategoria di MFA dove vengono usate solo due di queste tre tipologie di dati.
Nel caso dell’utilizzo delle Yubikey o di altre chiavi di sicurezza, si tratta di un “qualcosa che si ha”. Ciò significa che, per poter accedere a un sito web o a un’applicazione, non solo è necessario sapere nome utente e password ma è anche necessario dimostrare di essere chi si dice di essere attraverso il possesso della chiave fisica.
Perché le Yubikey sono più sicure dei codici OTP
Il fattore di autenticazione “qualcosa che si ha” può essere composto da un codice univoco e temporaneo che viene inviato mediante SMS oppure che viene generato da un’app sincronizzata con i server del servizio a cui si cerca di accedere. Tuttavia, questi due sistemi di sono vulnerabili ad alcuni attacchi informatici.
L’utilizzo degli SMS è la forma meno consigliata di MFA, in quanto si basa su una tecnologia degli anni ’90 non crittografata. Inoltre, l’attacco informatico SIM swap in cui un hacher convince l’operatore telefonico a trasferire il numero verso un’altra SIM è molto comune e non tanto difficile.
L’utilizzo di un’app che genera codici, seppur meglio degli SMS, è vulnerabile lo stesso agli attacchi di phishing, in cui l’utente viene ingannato nel credere che sta immettendo i dati su un sito web legittimo ma invece si tratta di una copia creata appositamente dall’hacker per farsi consegnare i dati.
Con l’utilizzo delle Yubikey per la MFA, invece, non solo non viene trasferito alcun dato online se non un codice univoco generato dalla chiave stessa ma anche gli attacchi di phishing non hanno modo di avere successo, in quanto è comunque necessario inserire fisicamente la chiave (o usare il chip NFC) nel dispositivo.
Come registrare le Yubikey sui propri account
Yubico, l’azienda che sta dietro alle Yubikey, ha creato un sito web con delle guide passo passo su come registrare le proprie chiavi sui principali siti web. Nel nostro caso abbiamo realizzato delle guide di approfondimento relative all’account Google e all’account Facebook che vi invitiamo a consultare.
