Autenticazione a due fattori: non è così sicura come si pensa

L’autenticazione a due fattori viene utilizzata da molte piattaforme per rendere ancora più sicure le procedure di verifica quando si tratta di operazioni delicate, come ad esempio quelle di home banking. Tuttavia, questa non è sicura al 100% come si tende a pensare. Anzi, basta relativamente poco per aggirarla.

L’autenticazione a due fattori non rappresenta la “sicurezza assoluta”

Kevin Mitnick – Chief Hacking Officer presso KnowBe4 – ha spiegato in un video pubblicato su YouTube che l’autenticazione basata su doppia verifica non è assolutamente la soluzione più sicura ed infallibile, tutt’altro. Infatti è possibile sfruttare un exploit che riesce a convincere l’utente ad immettere i propri dati in una pagina identica a quella reale, inclusa la seconda chiave di autenticazione.

Lo stesso exploit è poi in grado di inserire le informazioni nel portale di riferimento, come ad esempio quella della banca, ottenendo tutti i dati necessari. Infine, Mitnick è riuscito a scovare – sempre con lo stesso strumento – tutte le credenziali di accesso di cui necessitava. Questo gli ha permesso di accedere in modo indipendente al sito Web le volte successive.

LEGGI ANCHE: Google vuole che Android abbia un doppio livello di sicurezza

Il CEO di KnowBe4 –  Stu Sjouwerman – ha spiegato che un white hat hacker (di quelli buoni, per intenderci) ha sviluppato un tool in grado di by-passare – in qualsiasi situazione – l’autenticazione a due fattori. Il tool – che si chiama evilginx – è stato poi mostrato in dettaglio sul sito Web del suo sviluppatore, Kuba Gretzky. Per questo motivo, c’è da aspettarsi che degli hacker, decisamente malintenzionati, possano iniziare ad utilizzarlo.

LEGGI ANCHE: Android P garantirà una maggiore privacy agli utenti

Insomma, come sottolinea il CEO di KnowBe4, l’autenticazione a due fattori è un livello di sicurezza in più. Certamente non si tratta dell’unica soluzione per dormire sonni tranquilli dopo aver eseguito dei log-in sul Web.

[su_app]