mercoledì 15 agosto 2018

Violazione Reddit e debolezze della 2FA - Post scriptum

Avevo già scritto brevemente e recentemente dell'autenticazione a due fattori:
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa.html.

Nel numero di Crypto-Gram di agosto 2018, Bruce Schneier segnala che Google ora produce il suo token:
- https://www.schneier.com/blog/archives/2018/07/google_employee.html.

La mia competenza in materia è ahimè scarsa, ma cerco di migliorarla. In precedenza avevo segnalato alcuni meccanismi di 2FA, ma non avevo colto il fatto che possono essere in ordine di livello di sicurezza (i link si trovano sul post di Bruce Schneier):
- codici temporanei, o one-time, inviati via SMS (ritenuti molto insicuri);
- codici temporanei inviati via app per dispositivi mobili (esempi sono Google Auth e MS Authenticator);
- chiavi USB o Bluetooth (o NFC o altro) da collegare al pc o al dispositivo mobile (esempi sono YubiKey di Yubico, U2F Security Key di Feitian e il recente Titan Key di Google, basati sul protocollo FIDO).

Prego di inviarmi ulteriori approfondimenti su questa materia.

Nessun commento:

Posta un commento