
Google potrebbe essere diventato uno dei più grandi esempi di come le chiavi di sicurezza fisiche possano funzionare meglio delle altre tecniche di autenticazione a più fattori con codici.
Secondo Krebs on Security da quando nel 2017 Google ha richiesto ad oltre 85.000 dipendenti di provare a utilizzare le security keys invece della autenticazione a due fattori basata su codici, nessun account è stato hackerato tramite phishing.
"Non abbiamo avuto violazioni di account né segnalate né confermate da quando abbiamo inserito le chiavi di sicurezza su Google", ha affermato un portavoce della società. "Agli utenti potrebbe essere richiesto di autenticarsi con la propria chiave di sicurezza per alcune app, in base alla sensibilità dell'app stessa o del rischio dell'utente in quel momento."
Le chiavi di sicurezza come quella creata da Yubikey consentono di accedere a un sito web, una volta inserita, semplicemente premendo un pulsante. Non ci sarà nemmeno bisogno di digitare nuovamente la propria password, tanto meno di generare un codice una tantum. Nonostante questo metodo presenti una debolezza, considerando che si incentra su un oggetto fisico che si potrebbe perdere, è comunque considerato più sicuro dell'autenticazione a due fattori come quella con l'invio di codici tramite SMS. Un hacker potrebbe infatti intercettare i messaggi inviati al proprio dispositivo ottenendo il codice inviato e di conseguenza l'accesso al proprio account.
Sfortunatamente al momento il metodo U2F (sigla che indica il tipo di autenticazione con chiavi fisiche Universal 2nd Factor) è ancora limitato. Lo si può già utilizzare infatti per la propria sicurezza su Chrome, ma bisogna attivarlo manualmente per quanto riguarda FireFox.
Microsoft ha deciso che non implementerà la compatibilità U2F per Edge fino a fine anno e per quanto riguarda Apple, non è ancora stato rivelato se Safari supporterà mai questa tecnologia. Anche la grande maggioranza di siti web e servizi non sono compatibili al momento, inclusi Facebook e altri gestori di password come Keepass e LastPass.
Resta ora da vedere se l'esperienza positiva di Google può aiutare questa tecnologia a diffondersi.
24 luglio 2018
Fonte: engadget.com