sabato 4 agosto 2018

Violazione Reddit e debolezze della 2FA

La notizia, giunta via Twitter da @skhemissa è che Reddit è stata violata da
qualcuno che ha compromesso le credenziali di personale interno per accedere
a dei server cloud e di immagazzinamento di codice sorgente (e quindi a dei
backup di dati degli utenti in sola lettura):
- https://thehackernews.com/2018/08/hack-reddit-account.html.

La stessa notizia l'ho trovata (più sintetica) sul SANS NewsBites Vol. 20
Num. 061, che si può consultare su questa pagina:
- https://www.sans.org/newsletters/newsbites/.

Questa notizia è importante perché le credenziali erano protette da un
sistema di autenticazione a due fattori (o 2-factor-authentication o 2FA)
basato su SMS e questo attacco ha dimostrato che è facile comprometterlo.

Se il 2FA basato su SMS è debole, ancora più debole è il sistema basato
sulle sole user-id e password.

E quindi io mi chiedo: quanti hanno detto ai loro clienti che i servizi
accedibili con sole user-id e password sono vulnerabili? Penso in
particolare ai servizi su cloud (tra cui email, file sharing, backup), ma
anche, ovviamente, agli altri.

Ricordo, copiando dal SANS NewsBites, alcuni punti:
- la pubblicazione NIST SP 800-63-3 (che già segnalai a suo tempo)
raccomandava di non usare sistemi 2FA basati su SMS;
- il 2FA basato su SMS è comunque preferibile ai sistemi basati su sole
user-id e password ed è più economico dei sistemi 2FA basati su token;
- esempi di sistemi 2FA basati su token sono Google Auth, MS Authenticator,
YubiKey e RSA SecurID.

Nessun commento:

Posta un commento