skip to main | skip to sidebar
14 commenti

Usare una chiave al posto di una password

Credit: Yubico
La sicurezza è per molti una scocciatura insostenibile: ricordarsi password differenti per decine di siti è una sfida da mal di testa immediato, che spinge spesso a semplificazioni insicure che poi rendono facile il furto d'identità tramite phishing e l'accesso ai dati privati.

Per cercare di ovviare al problema del furto di password c'è già l'autenticazione a due fattori (o verifica in due passaggi), che però comporta comunque una complicazione supplementare: è difficile da impostare e da gestire. Ora Google sta proponendo una soluzione alternativa: una chiave fisica.

Si tratta di una speciale chiavetta USB che rispetta lo standard aperto FIDO U2F, sottoscritto da Google e Microsoft e circa 120 altre aziende (ma non da Apple), e si attiva soltanto dopo aver verificato che il sito sia autentico e non uno dei tanti siti-clone che cercano di rubare nomi utente e password. L'utente, invece di dover digitare un codice, preme un tasto sulla chiavetta inserita in una porta USB del computer. Tutto qui: il phishing diventa un ricordo.

Per ora la chiavetta, disponibile in vari paesi a un prezzo molto abbordabile, è concepita per funzionare con i servizi di Google e soltanto se si usa Chrome come browser, ma nulla vieta che altri fornitori di servizi adottino la stessa soluzione. Una chiavetta sola conterrebbe tutti i codici crittografici di autenticazione dell'utente.

La chiavetta contiene uno speciale chip, il Secure Element, basato sulla tecnologia delle smart card, che custodisce in modo sicuro le chiavi crittografiche. Quando si attiva la chiavetta per la prima volta vengono generate due di queste chiavi: una pubblica, inviata al fornitore di servizio, e una privata, che resta sulla chiavetta. Il sito visitato manda alla chiavetta un challenge cifrato: la chiavetta lo decifra e poi risponde con un token di autenticazione firmato.

L'idea della chiave fisica al posto della password stronca la maggior parte degli attacchi da remoto ma ha comunque delle limitazioni: bisogna avere con sé la chiave, ovviamente, e smarrirla o farsela rubare può essere un problema. Inoltre non tutti i dispositivi hanno una porta USB, e in alcuni ambienti di lavoro le porte USB ci sono ma sono disabilitate o ne è vietato l'uso appunto per ragioni di sicurezza. Ma per molti utenti una chiave fisica potrebbe essere una semplificazione salvavita.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (14)
Una precisazione (la sto utilizzando da una settimana): accedendo ai servizi Google tramite Chrome Browser l'uso della chiavetta Fido permette di evitare il secondo passo dell'autenticazione a due fattori. Quindi viene comunque richiesta la password del proprio account Google e, successivamente, al posto di richiedere il codice generato da Google Authenticator, viene richiesto di inserire la chiavetta in una porta USB libera.
Perchè la verifica in due passaggi sarebbe complicata da impostare o gestire? ci vogliono 2 secondi e avere sempre un device a portata di mano.

Questa mi pare una grande scomodità... soprattutto per tutti i device (smartphone, tablet..) che non hanno USB....sono il 99%, se ci fai caso.
Inoltre devi sempre averla dietro.

Da capire poi come revocarla su TUTTI i siti su cui questa è abilitata in caso di smarrimento...
Andrea, smartphone e tablet non hanno bisogno della verifica in due passaggi. Se l'account con il quale è stato registrato il device è lo stesso che si usa su Google, sono già autenticati. Quando accedi con lo smartphone o con il tablet non ti viene mai richiesta la seconda chiave.
La Yubikey, disponibile da tempo, pare supportare anche questo standard:
https://www.yubico.com/applications/fido/

oltre ad essere "FLOSS-friendly" (ha programmi di utilità per vari sistemi operativi, almeno quelli per sistemi Linux sono nelle distribuzioni).
E' lo stesso meccanismo usato dai sisti istituzionali (INPS, per esempio) per accedere ai loro servizi.
Se si ha una CNS (dispositivo di firma digitale) si può accedere a uno qualsiasi di questi siti. Basta ricordare il PIN.
per smartphone esiste la versione bluetooth...nel momento in cui qualcuno la integrasse nei suoi sistemi ad oggi pare sia solo google...
@Andrea: forse lo scenario non è "solo Google".

Leggendo le specs della Yubikey NEO, essa integra vari protocolli di protezione (quello che usa anche Google, più altri), è possibile integrarla con LastPass (che consiglio fortemente) di cui, a pagamento, c'è l'app mobile (fondamentale).
Non è bluetooth, ma integra il sensore NFC, che si può quindi avvicinare velocemente al terminale mobile per essere riconosciuto (NFC ha una portata estremamente ridotta, il che è meglio in questo caso).

Faccio l'esempio specifico per LastPass: si integra in tutte le app/browser dello smartphone.. bellissimo ma è scomodo in effetti tutte le volte digitare la complicata main password (DEVE essere unica e complicata, ma è l'unica che in fondo va ricordata) e sarebbe effettivamente ancora più pratico se potessi avvicinare sta chiavina Yubi via NFC.

Quindi.. se ho capito bene, con LastPass Premium + Yubikey NEO si può evitare per sempre di digitare le password sullo smartphone per qualsiasi account (non solo Google), e in più avendo una sicurezza di ferro.

Mi sono convinto, quasi quasi lo faccio :D
Paolo,

leggendo l'articolo non è che abbia capito bene come funziona...

La chiavetta consente solo l'autenticazione dei siti google o di tutti? Il tuo articolo parla di ricordare decine di password differenti" ma il link alla pagina di google parla di "google account" e di un layer aggiuntivo di sicurezza. Quindi - se ho capito bene - la chiavetta affronta non tanto il problema di ricordare decine di password ma di rendere google inaccessibile se il laptop viene rubato.

O no?
Beh in pratica è una smartcard che non richiede un lettore apposito. Dovrebbe essere supportata da Windows senza bisogno d'altro a quel che so.
io non ho mai capito perchè non si possa utilizzare i generatori di password che per esempio usano le banche.
uno a caso (o uno non a caso ma disponibile per diversi os).
a me la verifica in due passaggi su sms mi sta un po' sulle balle perchè non ho voglia di dare il mio numero di telefono a questo e a quello (oltre alla marea di informazioni che già hanno).
gli unici che hanno il mio cellulare sono quelli della mia banca per gli avvisi sms sull'uso della carta di credito.
darlo a instagram o a facebook proprio mi scoccia, hai voglia a dire che poi lo usano solo per quello (in realtà nei contratti d'uso c'è scritto tutto il contrario...)
perchè non posso usare un sistema a codice generato?
per di più una cosa che non ho capito è perchè google authenticator ti chiede COMUNQUE il numero di telefono. io volevo usarlo, ma lì mi son bloccato. qual'è il senso dell'app se poi mi chiedi il cellulare lo stesso??

idem con le smart card per i servizi pubblici. fammi generare un'immagine disco cifrata da copiare su un'sd del cavolo e fammi impostare un pin (o il solito generatore causale).
quando voglio accedere al servizio inserisco l'sd cifrata e scrivo il mio pin.
perchè dobbiamo sempre inventarci cose strane e fuori standard? la pec non ha insegnato nulla??

fortuna che apple ha piantato il primo chiodo sulla cassa di quell'altro cadavere che sono le sim... roba da matti... le sim... manco fossimo nel 1993...
@F
io non ho mai capito perchè non si possa utilizzare i generatori di password che per esempio usano le banche

Quelli che ho visto in giro al momento, correggetemi se sbaglio, supportano una sola chiave, quindi un solo conto di una sola banca. Dovresti avere un generatore personalizzato per ogni sito che visiti? E comunque ha le stesse limitazioni del dispositivo di cui parla l'articolo di Paolo: "bisogna avere con sé la chiave, ovviamente, e smarrirla o farsela rubare può essere un problema".
Van Fanel: "E comunque ha le stesse limitazioni del dispositivo di cui parla l'articolo di Paolo: "bisogna avere con sé la chiave, ovviamente, e smarrirla o farsela rubare può essere un problema".

Non necessariamente. Immagina un sistema fatto così:
1) computer criptato con chiave a 256 bits
2) un sistema del tipo di quelli delle banche con tasteranno (io ne ho uno, nel quale devi inserire la tua carta di debito e un codice numerico per ottenere il codice da inserire nel sito della banca)...
3) ... che però si collega con usb al computer
4) un'applicazione tipo (non uguale ovviamente) a keychain, ma che inserisce le password automaticamente se il sistema viene installato con le chiavi.

Per accedere hai bisogno del dispositivo, di un codice e del computer, come per il bancomat (carta, terminale bancomat e codice). Se manca uno di questi il resto diventa inutilizzabile. Quindi anche se ti fregano computer e dispositivo non ci fanno nulla.

Notare che la differenza rispetto al sistema di cui si parla qui è la presenza del tasteranno SUL dispositivo, non sul computer. In questo modo s
@pgc
Notare che la differenza rispetto al sistema di cui si parla qui è la presenza del tasteranno SUL dispositivo, non sul computer. In questo modo s

Ti hanno beccato eeEEH???
Così impari a postare sul disinformatico durante il lavoro!
:-)
"Saw somethin' strange, watch your back / 'cause you never quite know where the MIBs is at ... "