Autenticazione a due fattori. Non è infallibile!
L’autenticazione a due fattori è entrata a far parte del mondo della sicurezza informatica. È stata un grosso aiuto per i responsabili della sicurezza informatica. Una misura di sicurezza disponibile per ogni dipendente dell’azienda e un ottimo contrasto al cybercrime.
Autenticazione a due fattori. Come eluderla.
Le cattive notizie sono state portate alla luce non molto tempo fa da Kevin Mitnick, Chief Hacking Officer (CHO) di KnowBe4. Il consulente per la sicurezza e ex hacker ha scoperto che se un utente malintenzionato vuole bypassare la sicurezza informatica di un dipendente non esperto non è così difficile. Un po’ di social engineering per mostrare al dipendente delle false credenziali era sufficiente per ottenere i loro dati.
Mitnick ha mostrato come, usando un link a un dominio che sembrava reale, poteva mostrare una pagina di login falsa e rubare i dati sensibili della persona. Con questi dati, ottenere l’autenticazione a due fattori è praticamente un gioco da ragazzi.
Per dimostrarlo, Mitnick lo ha testato su uno scrittore di TechCrunch, a cui ha inviato un’e-mail contenente un link falso. Con questo link, è riuscito a ottenere i dati dello scrittore.
Può sembrare un episodio unico ma non è un caso isolato. Strumenti come Evilginx rendono questo compito molto molto più semplice. La conclusione è ovvia: l’autenticazione a due fattori è innegabilmente un passo nella giusta direzione per la sicurezza informatica aziendale, ma è lungi dall’essere infallibile.
Autenticazione a due fattori. Come evitare l’elusione.
Se sei preoccupato che una parte della tua azienda possa cadere in questo tipo di frode di phishing, ci sono molte cose che puoi fare al riguardo, così come diversi suggerimenti che ogni membro dello staff può seguire.
-
Non affidarti a un SMS.
La maggior parte delle volte, l’autenticazione a due fattori tende a fare affidamento su un SMS inviato a un utente in modo che possa accedere. In questo caso, i ladri potrebbero ottenere l’accesso a questo SMS. Per contrastare questo, è possibile optare per altri metodi di autenticazione a due fattori, in modo che il secondo avviso debba apparire sul dispositivo fisico dell’utente o sul relativo sistema operativo. Un esempio di questo è la verifica tramite Google Authenticator.
-
Dynamic or one time passwords.
Ricordare una password può essere noioso per i tuoi dipendenti, ma allo stesso tempo, non cambiare mai le password può diventare un vero problema di sicurezza informatica per l’intera azienda. In questi casi possiamo ricorrere alla tecnologia dell’algoritmo della password One-time, che ci fornisce una password valida per un solo accesso. Inoltre, non è una password statica, ma dinamica. Ciò significa che una violazione una tantum non metterà in pericolo per sempre la sicurezza informatica di accesso.
-
Siate sospettosi e fate domande.
Questo consiglio può sembrare ovvio, ma è anche il più importante per i dipendenti della tua azienda. Devono essere estremamente cauti quando si tratta di inserire i propri dati di accesso ovunque. Se hanno dubbi o sospetti, devono contattare immediatamente qualcuno responsabile della sicurezza informatica. Meglio prevenire che curare!
-
Protocollo di comunicazione.
Lo scrittore di TechCrunch ha visto violata la sua autenticazione a due fattori perché ha ricevuto una e-mail che gli parlava di un refuso. Sarà sempre complicato anticipare minacce di questo tipo, ma alcuni protocolli possono aiutare a evitarli. Ad esempio, se la tua azienda stabilisce una regola secondo cui nessuno del management può chiedere a un dipendente determinate informazioni riservate tramite una semplice e-mail, sarai in grado di evitare problemi come la famosa truffa dell’amministratore delegato.
Autenticazione a due fattori. Un aiuto ulteriore.
Nella rara occasione in cui queste misure non bastano a impedire a una violazione, è importante disporre di soluzioni avanzate di cybersecurity come Panda Adaptive Defense, che consente una risposta continua e immediata ai criminali informatici.
Se vuoi avere una panoramica sulle soluzioni offerte da Panda Security consulta la nostra pagina: http://www.bludis.it/panda/ se invece vuoi un contatto diretto con gli specialisti Bludis chiamaci allo 0643230077 o invia una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.