Google ha recentemente annunciato il semplificazione del processo abilitativo delautenticazione a due fattori (2FA) per gli utenti con account personali e Workspace.
Conosciuta anche come verifica in due passaggi (2SV), mira a introdurre un nuovo livello di sicurezza, da aggiungere agli account utente per prevenire attacchi di acquisizione in caso di furto della password.
“Il recente Google ha migliorato la configurazione dell’autenticazione a due fattori“, commenta Fabrizio VaccaTinexta Cyber, direttore delle operazioni di MSS, “per gli account personali e aziendali, l’introduzione di metodi di autenticazione aggiuntivi come app di autenticazione e chiavi di sicurezza hardware rappresenta un passo significativo verso la semplificazione e il rafforzamento sicurezza dell’utente”.
Ma ecco quelli restano aperte le criticitàin caso di Attacchi Avversay-in-The-Middle. E come difendersi.
Google semplifica l’impostazione dell’autenticazione a due fattori: come funziona
Il nuovo emendamento prevede infatti un secondo metodo, come ad esapp di autenticazione o una chiave di sicurezza hardwareprima di abilitare la 2FA, eliminando così la necessità di utilizzare l’autenticazione via SMS, notoriamente la meno sicura.
“Ciò è particolarmente utile per le organizzazioni che utilizzano Autenticatore di Google (o altre applicazioni equivalenti di password monouso temporizzate – TOTP)”, ha affermato la società. “In precedenza, gli utenti dovevano abilitare la verifica in due passaggi con un numero di telefono prima di poter aggiungere Authenticator.”
Gli utenti che dispongono di chiavi di sicurezza hardware hanno due opzioni per aggiungerli ai propri account: registrazione a Credenziale FIDO1 sulla chiave hardware o sull’assegnazione di una chiave di accesso (cioè uno Credenziale FIDO2) a uno di essi.
Il motore di ricerca lo nota agli account Spazio di lavoro Potrebbe esserti comunque richiesto di inserire la password insieme alla chiave di accesso se il criterio di amministrazione “Consenti agli utenti di ignorare le password all’accesso utilizzando le chiavi di accesso” è disabilitato.
Ma in un altro aggiornamento degno di nota, gli utenti che scelgono di disabilitare 2FA dalle impostazioni del proprio account non vedranno più rimossi automaticamente i secondi passaggi registrati.
“Quando un amministratore disabilita la verifica in due passaggi per un utente dalla console di amministrazione o tramite Admin SDK, la rimozione dei secondi fattori avverrà come prima, per garantire che i flussi di lavoro di off-boarding degli utenti non siano influenzati”, ha affermato. ha dichiarato Google.
Nuova criticità in caso di attacco man-in-the-middle
Oltre 400 milioni di account Google hanno iniziato a utilizzare le passkey nell’ultimo anno per effettuare il check-inautenticazione senza password.
Nuovi metodi e standard di autenticazione, come FIDO2, sono creato per resistere, fin dalla progettazione, ad attacchi di phishing e session hijacking, sfruttando le chiavi crittografiche generate e collegate a smartphone e computer per la verifica degli utenti. A differenza di una password che può essere facilmente rubata tramite malware di raccolta delle credenziali o rubata direttamente.
“Questa mossa strategica non solo riduce i rischi associati all’autenticazione meno sicura basata su SMS, ma si allinea anche con le tendenze più ampie del settore verso opzioni senza password più resilienti”, spiega Fabrizio Vacca.
“Tuttavia”, avverte Fabrizio Vacca“,”Nonostante questi progressi, recenti ricerche sulle minacce di Adversay-in-The-Middle evidenziare le sfide attuali nella protezione delle identità digitali ccontro sofisticate minacce informatiche”.
In effetti, una nuova ricerca di Silverfort lo dimostra un attore di minacce informatiche potrebbe aggirare FIDO2, effettuando un attacco Adversary-in-the-middle (AitM) in grado di dirottare le sessioni utente nelle applicazioni che utilizzano soluzioni Single Sign-On (SSO). come Microsoft Login ID, PingFederate e Yubico.
“Un attacco MitM riuscito espone l’intero contenuto delle richieste e delle risposte del processo di autenticazione”, ha affermato il ricercatore di sicurezza Dor Segal: “Dopo il completamento, l’avversario può catturare il cookie di stato generato e dirottare la sessione della vittima. In poche parole, non vi è alcuna convalida da parte dell’applicazione una volta completata l’autenticazione.”
I dettagli
L’attacco è reso possibile da questo La maggior parte delle applicazioni non protegge i token di sessione creati dopo l’autenticazione riuscitaconsentendo così a un utente malintenzionato di farlo ottenere un accesso non autorizzato.
Inoltre, non viene eseguita alcuna convalida sul dispositivo che ha richiesto la sessione, il che significa che qualsiasi dispositivo può utilizzare il cookie fino alla sua scadenza. Ciò consente di aggirare la fase di autenticazione acquisendo il cookie tramite un attacco AitM.
Come proteggersi
Per garantire che la sessione autenticata venga utilizzata esclusivamente dal clientconsigliamo di adottarne uno tecnica nota come associazione di token, che consente alle applicazioni e ai servizi di associare crittograficamente i propri token di sicurezza al livello del protocollo Transport Layer Security (TLS).
Mentre l’associazione di token è attualmente limitata a Microsoft Edgeil mese scorso Google ha annunciato una nuova funzionalità di Chrome chiamata Credenziali di sessione associate al dispositivo (DBSC) aiutare proteggere gli utenti dal furto dei cookie di sessione e dagli attacchi di dirottamento.
