Confronta gli standard di sicurezza U2F e UAF

U2F (Universal Second Factor) è uno standard di sicurezza di autenticazione a 2 livelli che utilizza hardware esterno aggiuntivo (USB, braccialetto...) quindi il livello di sicurezza sarà superiore rispetto all'invio di codici tramite e-mail o numero di telefono. Oggi LuckyTemplates ti aiuterà ad apprendere le basi di questa nuova forma di sicurezza e a confrontarla con lo standard UAF (simile ai sensori di impronte digitali sui dispositivi Apple e Samsung).

Presentazione dell'U2F

La sicurezza a due livelli è un modo semplice per aiutarti a proteggere importanti account online. Potrebbe essere un account di posta elettronica, un account di archiviazione cloud, un conto bancario online o un account per accedere al sito Web interno dell'azienda. Normalmente, le applicazioni o i servizi che supportano la sicurezza a 2 livelli richiedono l'accesso con i seguenti passaggi:

• Apri il sito web/servizio a cui devi accedere, digita il tuo nome utente e la tua password come al solito
• Successivamente, ti verrà inviato un codice di autenticazione in molti modi diversi: può avvenire tramite SMS, via email, leggendo il codice per telefono o utilizzando alcune app specializzate.
• Una volta che hai in mano il codice di autenticazione, continua a inserirlo nel sito web/servizio per accedere con successo.

Fondamentalmente, il secondo livello di sicurezza impedisce l'accesso non autorizzato al tuo account anche se tutti i tuoi dati di accesso sono stati rivelati. Ad esempio, la persona che ha il tuo nome utente e la tua password per accedere al sito web della banca non può ottenere il codice di autenticazione perché viene inviato solo al tuo telefono o inviato solo alla tua email. Di conseguenza, rimarrà bloccato fuori da quel sito e non potrà fare altro, al massimo potrà visualizzare alcuni dettagli del saldo ma non potrà effettuare un'operazione di trasferimento di denaro.

Naturalmente, se rubasse anche il telefono o sapesse come accedere all'account di posta elettronica, la storia sarebbe diversa. Molte persone oggi utilizzano la stessa password di posta elettronica per molti siti Web e servizi online, quindi i malintenzionati possono comunque accedere alla casella di posta e ottenere il codice di sicurezza a due livelli. A questo punto i vantaggi del meccanismo di sicurezza a due livelli scompaiono completamente.

Allo stesso modo, anche i telefoni sono molto facili da rubare e aprire gli SMS per vedere il codice di sicurezza a 2 livelli. Anche senza rubare, i malintenzionati possono comunque vedere il codice di autenticazione inviato al tuo telefono quando appare la notifica nella schermata di blocco. È così semplice, ma è estremamente pericoloso, giusto?

U2F è nato per risolvere queste limitazioni. U2F utilizza HARDWARE per creare codici di autenticazione, quindi non devi più preoccuparti se qualcuno hackera la tua casella di posta o prende il tuo telefono. L’accesso deve essere effettuato in presenza di tale hardware, che non può essere violato o violato da remoto, riducendo così molti rischi. Attualmente l'hardware U2F più popolare è la penna di memoria USB, ha dimensioni molto compatte quindi è facile da portare con te ovunque tu vada. In futuro ci saranno sempre più aziende che produrranno dispositivi U2F sotto forma di anelli, collane, braccialetti, chiavi e dozzine di altre cose.

U2F è sviluppato da un'alleanza chiamata FIDO ( Fast IDentity Online ), che comprende Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America e molte altre grandi aziende. A giugno di quest'anno, la FIDO contava 200 membri provenienti da molti paesi diversi. FIDO è attualmente molto attiva nella promozione dell'U2F, dall'hardware al software, e in futuro apparirà ovunque.

Principio di funzionamento

Quando devi accedere a un servizio online, ad esempio Gmail, devi comunque inserire come di consueto nome utente e password. Nel passaggio successivo, ti verrà chiesto di collegare l'unità USB compatibile U2F al tuo computer. Il browser Chrome rileva immediatamente la presenza del dispositivo e utilizza tecnologie di crittografia per recuperare i dati da esso ( dovrai premere un pulsante sull'unità USB ). Chrome continua a verificare se i dati sono corretti o meno e, se tutto va bene, accederai a Gmail.

Il motivo per cui devi ancora inserire nome utente e password nel primo passaggio è per impedire a qualcuno di entrare nel tuo account semplicemente rubando la chiave. Anche questo è vero, perché sono "2 classi", altrimenti sarebbe uguale a 1 classe.

Durante il processo di autenticazione delle informazioni di Chrome, in realtà vengono eseguite molte cose per garantire la tua sicurezza. Innanzitutto, il browser controllerà se sta comunicando con il sito web reale tramite il protocollo https. Ciò aiuta a evitare la situazione in cui utilizzi la sicurezza a 2 livelli con un sito Web falso. Successivamente, il browser invierà un codice prelevato dall'unità USB direttamente al sito Web, quindi in teoria un utente malintenzionato non sarà in grado di ottenere questo codice mentre i dati sono in transito.

Secondo la configurazione di U2F, oltre a inserire come al solito la password completa, i siti web possono anche darti la possibilità di inserire un breve codice PIN e quindi premere un pulsante sul dispositivo USB per continuare ad accedere. In questo modo puoi semplificare la memorizzazione delle password e risparmiare più tempo durante l'utilizzo del servizio (perché devi digitare meno caratteri).

Quali siti Web supportano U2F?

Al momento della stesura di questo articolo, non molti siti Web, servizi e software dispongono del supporto ufficiale per U2F. Chrome è attualmente l'unico browser che integra U2F ed è disponibile su Windows, Mac, Linux e Chrome OS. Firefox ed Edge sono in fase di integrazione ma non si sa quando saranno completati. Alcuni siti Web che hanno utilizzato U2F includono siti Web di Google, Dropbox e Github. Speriamo che in futuro vedremo più siti web importanti che supportano U2F.

E come accennato in precedenza, per utilizzare U2F, devi utilizzare un'unità USB speciale, non puoi prendere immediatamente l'unità USB che hai in mano. Queste unità possono essere trovate su Google, Amazon e puoi utilizzare la parola chiave FIDO U2F Security Key per effettuare la ricerca, i prezzi vanno da pochi dollari a decine di dollari. Attualmente questo tipo di USB non è venduto sul mercato vietnamita.

Supponendo che tu abbia già acquistato un'unità USB U2F, puoi andare alla pagina di configurazione della sicurezza a 2 livelli di Google e seguire le istruzioni web per iniziare a utilizzarla.

E l'UAF?

Anche UAF ( Universal Authentication Framework ) è un altro standard di accesso sviluppato dalla stessa FIDO, ma non richiede alcuna password. Ecco perché UAF è anche chiamata esperienza senza password . UAF richiede un metodo di autenticazione che risiede sul dispositivo dell'utente e non viene trasmesso localmente. Alcuni esempi di metodi di autenticazione locale sono i sensori di impronte digitali, i sensori dell'iride, il riconoscimento facciale e persino l'utilizzo di un microfono per il riconoscimento vocale. Dopo essersi registrato al servizio online, ogni volta che l'utente deve effettuare il login, è sufficiente far scorrere il dito sul sensore o avvicinare il viso alla fotocamera.

Puoi immaginare UAF nel modo in cui Apple utilizza il sensore Touch ID per aiutarci ad accedere all'App Store o nel modo in cui Samsung utilizza il sensore di impronte digitali di Note 4, Note 5, S6, S6 Edge per aiutarti. Accedi ai siti Web o effettua PayPal. acquisti senza digitare una password. Ogni volta che avrai bisogno di autenticarti ti basterà appoggiare il dito sul sensore e tutto il resto verrà fatto automaticamente.

UAF differisce dalla soluzione di Apple e Samsung in quanto è standardizzata, quindi qualsiasi sito Web o applicazione sarà in grado di implementare questo tipo di sicurezza in modo rapido e semplice, senza doverlo fare da zero e anche senza dipendere da alcuna piattaforma o sistema operativo. Ciò aiuterà l’UAF a diventare più attraente e utilizzato da più servizi, oltre a raggiungere più utenti su larga scala.

UAF consente anche di utilizzare una combinazione di PIN o password con sicurezza locale, ma in questo caso l'esperienza non sarà più realmente passwordless ma si trasformerà in una sicurezza a due livelli.

I dati utilizzati per l'autenticazione secondo lo standard UAF, come l'impronta digitale o il campione vocale, risiederanno sempre solo sul tuo dispositivo e, naturalmente, sono accuratamente crittografati. Questi dati sensibili non devono essere esposti al mondo esterno perché altrimenti c'è il rischio che vengano rubati dagli hacker.

• Migliora la sicurezza USB con l'app USB Flash Security
• Scopri di più sul dirottamento DNS e su come prevenirlo!
• Teoria: cos'è il ransomware?

Buona fortuna!