Security Notes

Security Key e RRVS: come Google, Facebook e Yahoo intendono proteggerci

google-2sv_500

Le principali aziende del settore ICT come Google, Facebook e Yahoo sono da sempre attente alla sicurezza dei propri utenti, e oggi discutereremo delle innovazioni tecnologiche da loro introdotte per proteggere i propri clienti.

Partiamo da Google. L’azienda ha lanciato un nuovo sistema di autenticazione a due fattori, denominato Security Key, che integra quello esistente, lo scopo è aumentare il livello di sicurezza dei servizi erogati, tra cui Gmail. Google permetterà ai suoi utenti di autenticarsi utilizzando una chiavetta USB dalle dimensioni ridotte. Oltre ad offrire maggiore protezione agli utenti richiedendo per l’accesso l’utilizzo della chiave e la conoscenza delle credenziali (e.g. username e password), Google intende proteggere i propri clienti da altre tipologie di attacchi come il phishing.

Il sistema di base di autenticazione a due fattori implementato da Google per i suoi servizi utilizza lo Smartphone dell’utente come token di autenticazione, soluzione che tuttavia protegge dal phishing.

Security Key

La soluzione utilizza una chiavetta USB conforme alle specifiche FIDO Alliance Universal 2nd Factor i processi di autenticazione a due fattori.

“La Security Key offre un secondo fattore di autenticazione mediante la chiavetta USB, il processo funziona solo dopo aver verificato la genuinità del sito Google acceduto dall’utente. Invece di digitare un codice, come nel caso dell’autenticazione a due fattori semplice offerta da Google, l’utente deve inserire la chiave di sicurezza nella porta USB del proprio“ spiega Nishit Shah, security product manager di Google.

In pratica, l’utente non corre il rischio di fornire le proprie credenziali su siti costruiti ad hoc per rubarle.

La Security Key inizialmente funzionerà solo per i siti visitati dall’utente con il browser Google Chrome, ma il colosso ha anticipato che la compatibilità sarò estesa presto ad altri browser e potrà essere integrata con tutti i servizi che implementano il protocollo U2F.

Google ha pubblicato un post in cui spiega ai suoi utenti che la soluzione Security Key non è utilizzabile solo nei seguenti casi:

  • Utilizzi il tuo account solo su dispositivi mobili. Per funzionare, il token di sicurezza richiede una porta USB. Pertanto, non è consigliato per gli utenti di soli dispositivi mobili.
  • Non utilizzi Chrome. Il token di sicurezza non funziona con nessun altro browser, se non Google Chrome.

La Security Key è acquistabile online su numerosi siti specializzati, incluso Amazon.

Circa un anno fa, Yahoo annunciò che tutti gli indirizzi email non utilizzati negli ultimi 12 mesi sarebbero stati “liberati” e resi disponibili ad altri utenti che ne avrebbero fatto richiesta. Ma le email sono spesso collegate agli account di siti e servizi, inclusi i social network, quindi il nuovo proprietario potrebbe usare l’indirizzo per recuperare le password di accesso. Yahoo, in collaborazione con Facebook, ha trovato una possibile soluzione al problema chiamata Require-Recipient-Valid-Since ().

Il nuovo standard, per il quale i colossi hanno sottoposto una RFC alla Internet Engineering Task Force (IETF), è un’estensione del protocollo SMTP (Simple Mail Transfer Protocol).

La specifica Require-Recipient-Valid-Since (RRVS) suggerisce una modalità con la quale il mittente di un messaggio indica ai destinatari la proprietà dell’account di posta utilizzato ad una determinata data.

L’estensione introdotta da Yahoo e Facebook utilizza un campo nell’header delle email, nel caso specifico di Facebook, ad esempio, al messaggio inviato per il recupero della password viene aggiunto un “timestamp” che indica quando è stata confermata la proprietà dell’account Yahoo. In questo modo, qualora sia cambiata la proprietà dell’account di posta dall’ultima conferma, Yahoo non recapiterà il messaggio preservando così le informazioni sensibili del legittimo proprietario.

Se, e quando, la specifica RRVS diventerà uno standard, sarà possibile il riutilizzo di indirizzi email precedentemente assegnati senza incorrere in problemi di sicurezza e privacy.

 

 

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This