Cybersecurity: gli standard insicuri che dovremmo rimpiazzare

Negli anni il mondo del web si è evoluto in modo veloce e continua costantemente a farlo. Come vediamo spesso, insieme a tante evoluzioni aumentano anche i rischi per la sicurezza degli utenti della rete. In questo articolo vedremo quali sono gli standard ai quali non riusciamo a rinunciare ma che al contempo risultano essere maggiormente rischiosi e quindi da superare. Tali strumenti hanno anche un altro problema, ovvero quello di non riuscire mai a raggiungere una protezione perfetta.

In questa classificazione entrano di diritto le password, ovvero lo strumento di sicurezza più utilizzato in assoluto. Il problema delle password risiede da sempre nel fattore umano, ovvero nella scarsa cura degli utenti. Spesso ripetiamo come la migliore delle pratiche sia quella di non utilizzare più volte la stessa chiave e di cambiarla periodicamente. Un’altra necessità è quella di creare password forti e non semplici sequenze di numeri. Per capire quanto questa pratica non sia in uso basta sapere che la password 123456 è stata scoperta oltre 24 milioni di volte (dati di haveibeenpwned).

Negli anni si è spesso provato a rimpiazzare le password con sistemi più avanzati e più sicuri, ma sempre con scarso successo. Due tentativi sono WebAuthn e FIDO2, che non eliminerebbero di per sé le password ma aggiungerebbero altri fattori di autenticazione molto più solidi come controprove via smartphone e token USB. Altre soluzioni sono le password composte da sequenze alfanumeriche casuali, che però sono difficili da ricordare. Per poterlo fare è possibile aggiungere un password manager, ma aggiungerebbe ulteriore complessità. La verità è che, comunque vada, le sole password continueranno ad essere utilizzate soprattutto in modo improprio poiché semplici ed immediate.

Continuando sulle autenticazioni a più fattori, non è vero che tutte le soluzioni sono buone. Ce n’è una che viene ancora utilizzata che non gode di questa sicurezza, ovvero gli SMS. Prendiamo come esempio gli attacchi per effettuare il cambio di titolarità delle SIM (SIM Swapping). Queste truffe si basano innanzitutto sul furto del numero di cellulare, che poi mirano a prendere il controllo delle autenticazioni a due fattori, ad esempio, per i servizi bancari. Per non utilizzare soluzioni a pagamento, basterebbe cambiare il fattore di riconoscimento e passare a generatori di codici già utilizzati dai principali portali. Un esempio di questi servizi è Google Authenticator.

Un ultimo standard ancora molto utilizzato ma già migliorabile è il WPA2 (Wireless Protected Access II). Le reti Wi-Fi hanno sempre avuto dei protocolli di sicurezza che, negli anni, sono stati migliorati dopo la scoperta di varie vulnerabilità. Ciò ha coinvolto anche WPA2, anche se ci è voluto un po’ più di tempo. Ad oggi, il protocollo più sicuro è WPA3, dato che a parte delle configurazioni particolari è già possibile crackare WPA2 con dei semplici strumenti scaricabili online. Questo è molto più utile quando alla rete si collegano una serie di device dei quali non si ha il controllo, magari senza l’utilizzo di password. Tramite WPA3 si riuscirebbe dunque ad avere maggior controllo, ma ad oggi è ancora poco utilizzato.

 

 

Fonti: 1