Le principali aziende del settore ICT come Google, Facebook e Yahoo sono da sempre attente alla sicurezza dei propri utenti, e oggi discutereremo delle innovazioni tecnologiche da loro introdotte per proteggere i propri clienti.
Partiamo da Google. L’azienda ha lanciato un nuovo sistema di autenticazione a due fattori, denominato Security Key, che integra quello esistente, lo scopo è aumentare il livello di sicurezza dei servizi erogati, tra cui Gmail. Google permetterà ai suoi utenti di autenticarsi utilizzando una chiavetta USB dalle dimensioni ridotte. Oltre ad offrire maggiore protezione agli utenti richiedendo per l’accesso l’utilizzo della chiave e la conoscenza delle credenziali (e.g. username e password), Google intende proteggere i propri clienti da altre tipologie di attacchi come il phishing.
Il sistema di base di autenticazione a due fattori implementato da Google per i suoi servizi utilizza lo Smartphone dell’utente come token di autenticazione, soluzione che tuttavia protegge dal phishing.
La soluzione Security Key utilizza una chiavetta USB conforme alle specifiche FIDO Alliance Universal 2nd Factor i processi di autenticazione a due fattori.
“La Security Key offre un secondo fattore di autenticazione mediante la chiavetta USB, il processo funziona solo dopo aver verificato la genuinità del sito Google acceduto dall’utente. Invece di digitare un codice, come nel caso dell’autenticazione a due fattori semplice offerta da Google, l’utente deve inserire la chiave di sicurezza nella porta USB del proprio“ spiega Nishit Shah, security product manager di Google.
In pratica, l’utente non corre il rischio di fornire le proprie credenziali su siti costruiti ad hoc per rubarle.
La Security Key inizialmente funzionerà solo per i siti visitati dall’utente con il browser Google Chrome, ma il colosso ha anticipato che la compatibilità sarò estesa presto ad altri browser e potrà essere integrata con tutti i servizi che implementano il protocollo U2F.
Google ha pubblicato un post in cui spiega ai suoi utenti che la soluzione Security Key non è utilizzabile solo nei seguenti casi:
- Utilizzi il tuo account solo su dispositivi mobili. Per funzionare, il token di sicurezza richiede una porta USB. Pertanto, non è consigliato per gli utenti di soli dispositivi mobili.
- Non utilizzi Chrome. Il token di sicurezza non funziona con nessun altro browser, se non Google Chrome.
La Security Key è acquistabile online su numerosi siti specializzati, incluso Amazon.
Circa un anno fa, Yahoo annunciò che tutti gli indirizzi email non utilizzati negli ultimi 12 mesi sarebbero stati “liberati” e resi disponibili ad altri utenti che ne avrebbero fatto richiesta. Ma le email sono spesso collegate agli account di siti e servizi, inclusi i social network, quindi il nuovo proprietario potrebbe usare l’indirizzo per recuperare le password di accesso. Yahoo, in collaborazione con Facebook, ha trovato una possibile soluzione al problema chiamata Require-Recipient-Valid-Since (RRVS).
Il nuovo standard, per il quale i colossi hanno sottoposto una RFC alla Internet Engineering Task Force (IETF), è un’estensione del protocollo SMTP (Simple Mail Transfer Protocol).
La specifica Require-Recipient-Valid-Since (RRVS) suggerisce una modalità con la quale il mittente di un messaggio indica ai destinatari la proprietà dell’account di posta utilizzato ad una determinata data.
L’estensione introdotta da Yahoo e Facebook utilizza un campo nell’header delle email, nel caso specifico di Facebook, ad esempio, al messaggio inviato per il recupero della password viene aggiunto un “timestamp” che indica quando è stata confermata la proprietà dell’account Yahoo. In questo modo, qualora sia cambiata la proprietà dell’account di posta dall’ultima conferma, Yahoo non recapiterà il messaggio preservando così le informazioni sensibili del legittimo proprietario.
Se, e quando, la specifica RRVS diventerà uno standard, sarà possibile il riutilizzo di indirizzi email precedentemente assegnati senza incorrere in problemi di sicurezza e privacy.
Facebook Comments