Privacy Policy

lunedì 17 luglio 2017

Google introduce un nuovo metodo di autenticazione nei propri account

Sappiamo che a maggio di quest'anno è stato scoperto un attacco che consentiva di bypassare l'autenticazione a due fattori (quella con un sms di conferma con un codice) grazie all'exploit di una vulnerabilità nel protocollo SS7.


Questo protocollo di comunicazione creato nel 1975 il quale ha diverse funzionalità, come riporta Wikipedia, infatti si occupa dei seguenti aspetti:

Il principale obiettivo di SS7 è quello di gestire l'attivazione e la chiusura delle chiamate. Altri utilizzi di questo sistema di segnalazione sono la gestione dei servizi SMS(Short Message Service), la fatturazione con sistemi prepagati, la traduzione del numero chiamato o chiamante (number translation) e una ampia gamma di servizi aggiuntivi ormai appannaggio dei clienti di molte delle reti telefoniche mondiali.

E' dal 2010 (quindi ere geologiche fa, parlando in termini informatici) che esperti e ricercatori mettono in evidenza vulnerabilità del protocollo che permettono di intercettare/manipolare i dati consentendo di ricevere i messaggi al posto dell'utente originale, per fare questo sono state scoperte diverse tecniche. Informazioni inerenti queste tecniche:


Questo tipo di attacco è già stato usato per bypassare l'autenticazione a due fattori presso un istituto bancario, cosa che ha permesso al cybercriminale di autenticare trasferimenti di fondi fraudolenti. 

Alcune istituzioni hanno sconsigliato di usare il codice SMS nell'autenticazione a due fattori, infatti come sappiamo ve ne sono di diversi tipi, come ad esempio l'uso dell'autenticatore Microsoft, EA, Lastpass ecc

Google ha quindi preso atto del problema ed ha introdotto, per chi aveva l'autenticazione via sms, una nuova forma di accesso a due fattori che permette all'utente di dare conferma dell'accesso direttamente dal proprio smartphone, grazie ad una finestra come questa:

Nella finestra di conferma c'è la descrizione del pc dov'è stata eseguita la richiesta di accesso, la posizione, data ed ora: sono dati da controllare e verificare PRIMA di dare la conferma. 

L'accesso al programma comunque è facoltativo (per ora), gli utenti con l'autenticazione via sms riceveranno un invito per accedere, in caso di rifiuto l'invito sarà rispedito dopo sei mesi. 

Il programma verrà attivato dalla prossima settimana

Per gli utenti iOS è necessario avere l'app Google Search per vedere la richiesta di conferma correttamente. 

Reazioni:

0 commenti :

Posta un commento