Google ha presentato Security Key, un nuovo sistema di autenticazione a due fattori che aumenterà la sicurezza degli utenti. Quest’ultima iniziativa è la riprova che Google è tra le aziende che da sempre riserva maggiore attenzione alla sicurezza informatica.
Il nuovo sistema di autenticazione a due fattori affianca quanto già offerto dall’azienda, aumentando sensibilmente il livello di sicurezza dei servizi erogati, tra cui Gmail.
Il nuovo processo di autenticazione a due fattori, anche conosciuto con l’acronimo 2FA, si basa sull’uso di un piccolo token hardware. Si tratta di una chiavetta USB dalle dimensioni ridotte, che permette agli utenti di autenticarsi ai servizi di Google e avere la garanzia di navigare soltanto su siti di Google reali e non su siti clonati.
La nuova soluzione si chiama Security Key ed è stata introdotta dalla società per prevenire le violazioni degli account dei propri utenti. Infatti, rispetto alla tradizionale autenticazione a due fattori offerta da Google, il nuovo processo riesce a proteggere l’utente da attacchi di phishing.
Perché serve l’autenticazione a due fattori
Contrariamente a quanto si possa pensare, continua a essere estremamente efficace la pratica criminale del phishing, basata su siti web clonati progettati per rubare le credenziali degli utenti. La conferma di ciò arriva dai dati proposti nell’ultimo rapporto dell’organizzazione APWG.
Questa tipologia di attacchi sta diventando sempre più sofisticata. Recentemente gli esperti di sicurezza di Symantec hanno scoperto una campagna di phishing che sfrutta le connessioni protette mediante protocollo SSL utilizzati nei servizi DropBox. Negli ultimi mesi una tecnica simile è stata usata per ospitare contenuti malevoli sul servizio di cloud storage Google Drive.
Il sistema di base per l’autenticazione a due fattori implementato da Google per i suoi servizi usa come token di autenticazione un dispositivo mobile (come ad esempio uno smartphone). Nonostante protegga gli utenti da accessi non autorizzati dei propri account, questo tipo di autenticazione non fornisce alcuna protezione nei confronti di altri tipi di attacchi, come il phishing.
Come spiegato nella pagina ufficiale relativa alla soluzione Security Key, la chiavetta usata per la nuova modalità di autenticazione a due fattori è un piccolo token USB, che implementa le specifiche FIDO Alliance.
“La Security Key offre un secondo fattore di autenticazione mediante la chiavetta USB. Il processo funziona solo dopo aver verificato la genuinità del sito Google acceduto dall’utente. Invece di digitare un codice, come nel caso dell’autenticazione a due fattori semplice offerta da Google, l’utente deve inserire la chiave di sicurezza nella porta USB del proprio Pc”, conferma Nishit Shah, security product manager di Google.
Quando si può usare la Google Security Key
La Security Key rappresenta per gli utenti Google un’ottima soluzione per la propria sicurezza. Tutti coloro che gestiscono dati sensibili dovrebbero farne uso, in considerazione del significativo aumento di attacchi informatici osservati negli ultimi anni.
La security Key inizialmente funzionerà solo con il browser Google Chrome. Google ha annunciato che presto sarà disponibile per altri browser e potrà essere integrata con tutti i servizi che implementano il protocollo U2F.
Come spiegato da Google, esistono alcuni scenari in cui l’utente non potrà usare la Security Key. Questi scenari sono:
- Quando si usa l’account solo su dispositivi mobili. Per funzionare, infatti, il token di sicurezza richiede una porta USB.
- Quando non si usa Chrome. Il token di sicurezza, infatti, funziona solo se come browser si usa Google Chrome.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef