Google: le chiavi di sicurezza hardware hanno annullato il rischio phishing

24 Luglio 2018 52

Il phishing non sembra essere più un problema per gli oltre 89.000 dipendenti Google, stando a quanto emerso da un recente rapporto pubblicato da Krebs on Security (in Fonte). Da quando nel 2017 la società di Mountain View ha dotato tutti i suoi dipendenti di una particolare chiave di sicurezza hardware - una periferica USB utilizzata per effettuare l'autenticazione in due fattori - non sono più stati accertati casi di phishing a danni dei lavoratori impiegati in Google.

Le chiavi in questione utilizzano lo standard di autenticazione aperto U2F, sviluppato da Big G in collaborazione con Yubico e NXP. Al momento questo non è ancora disponibile per tutte le società o i servizi e anche la lista di browser in grado di supportarlo è abbastanza limitata e include solo Chrome, Opera e Firefox, mentre Edge e Safari lo saranno in futuro. Tra i servizi attualmente compatibili con questo standard si segnalano Facebook, Dropbox, GitHub, Twitter, Salesforce e una svariata serie di servizi di gestione delle password.

Krebs on Security evidenzia che la lista potrebbe essere molto più lunga, qualora si dovesse estendere il supporto all'API Web Authentication. In un periodo di forte incertezza sul web - dovuto principalmente alle forte tensioni tra stati e organizzazioni - la sicurezza dei metodi di autenticazione è un tema sempre più centrale nella vita di aziende e privati e Google sembra aver trovato una soluzione efficace alla piaga del phishing.

Zero compromessi al miglior prezzo?? Samsung Galaxy S10 Plus è in offerta oggi su a 450 euro oppure da ePrice a 709 euro.

52

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
makeka94

XD mi piace essere più delicato

dataghoul

Hai ragione, ma solo perchè la maggior parte della popolazione è composta da idioti.

Walter Antolini

Le uso da anni, con diverse aziende e vanno benissimo, ma credo solo ora la gente inizieranno ad usarle... Speriamo almeno che i prezzi si abbassino.

V4N0

Se usa l’U2F la chiavetta non simula niente e il tasto da premere serve solo per “sbloccare” la chiave privata per portare a termine la challenge richiesta dal server per farti accedere (non c’e alcuna OTP).
Il bello (che è anche il motivo per cui sei al sicuro dal phishing) è che la chiavetta prima ancora di calcolare la risposta controlla che la sessione sia reale (al momento della prima registrazione al sito si salva la URI e altre cosette per identificare la “sorgente”)
Con gli OTP classici (di qualsiasi tipo! Hardware e non) invece non c’e alcun controllo, quindi o con un sito phishing o con un attacco mitm ti puoi beccare in chiaro user, password e OTG e l’hacker ha quei 5-10 secondi di margine per loggarsi al posto tuo!
Come funzionano invece quelli che simulano i dischi? Non li avevo mai sentiti!

delpinsky
LaVeraVerità

Questi?

https://uploads.disquscdn.c...

LaVeraVerità

"mentre la connessione tra chiavata USB e device autentica solamente il device del proprietario e non quello dell'acaro"

Sei davvero perverso. Devo dire che la chiavata USB ancora mi manca, e dire che pensavo di averle viste tutte.

Se poi mi devo guardare anche dagli acari...

Vash

vero.. sto caldo assurdo e le dita vanno per i kazzi loro...

NOP7356

non ho capito, se ti rubano il token sei fottuto perché lo ciulano e ciao? ma se invece hai una chiavetta con sopra le password invece sei protetto perché? ah perchè ti torturano, e cosa cambia? poi sotto parli di "ammazzarli alla fase uno" ma di cosa parli? basta droghe, sà

DeeoK

Ma quella la bevo io...

takaya todoroki

il punto è che un dispositivo USb per funzionare senza drive (che non siano quelli generici) o deve fungere di essere un disco (ed allora espone gli interrupt dei dischi) o una tastiera (idem).
Negli altri casi va messo un driver specifico.
Per dirne una il lettore di CRS (carta regionale dei servizi) è del tutto simile a sta roba e si finge tastiera, infatti quando pigi il tasto, 'scrive' i dati che legge dal chip o dalla banda della carta (non ricordo).. ovvero i dati anagrafici dell'utente e poco altro.
il trucco sta nel fatto che i client software istanziano un textbox invisibile, e ci mettono il focus in modo che, quando il lettore di CRS scrive, il textbox viene popolato e a quel punto il gioco è fatto.

Tony Musone

Avevi perso pure una H ma vedo che hai recuperato pure quella ;)

Gios

dai il pene, togli il pene, dai il pene, togli il pene, continua cosi daniel-san

Vash

ecco perchè preferisco amamzzarli alla fase uno.. tentativo di furto delle mie chiavette ^.^!

Gios

Coltello sul pene e in 2 minuti gli dai password conto corrente le chiavi di casa della tua ragazza e gli dai anche il sedere.......

mandraghen

Io uso due chiavete Yubico , esattamente le Yubikey4, presa in offerta dal produttore. Mi trovo benissimo.
Da poco, si possono usare anche tramite OTG direttamente su smartphone....!

Vash

se leggi dietro le righe capirai che un token del genere se te lo ciulano e ne fanno una replica, sei bello che andato, ma se ti ciulano la chiavetta devono poi smadonnarsi per indovinare la password generale (una decente, non la data di nascita o il nome del gatto defunto), per cui devono rubarti la chiavetta, rapire te, e dopo due giorni di sganassoni, forse, e dico forse, farsi dare pure la password... quale sistema è piu sicuro per te?

Gios

in questo caso visto l'abuso di K correggiamo con KubriKK !

Vash

scusa, lo persa nello scrivere.. sorry -.-

Tony Musone

Tranne per Kubrick a cui per rispetto e stima ho aggiunto la C che mancava ;)

Code_is_Law

dipende. sul mio ,il sito web mi dice di collegare il dispositivo al pc,lo collego al pc e sullo schermo del dispositivo hw appare la richiesta di autenticazione. premo un pulsante e avviene il login. C'è da dire che il mio dispositivo è un po particolare in quanto non viene usato solo a questo scopo ma anche ad altri. https://uploads.disquscdn.c...

O_Marzo

Qualkuno... QualKuno... QualKuno!!! È dai tempi di MSN che non leggevo tali truzzate...

emmeking

Chiava danel-san.

ciko

sha?

ciko

no la usi solo per il codice e basta

takaya todoroki

a quanto pare s', è come un OTP che non va digitato.

C'è da dire però che questo difende dal phishing: il codice della chiavetta OTP qualcuno (può capitare agli sprovveduti) può essere convinto a leggerlo/comunicarlo, mentre la connessione tra chiavata USB e device autentica solamente il device del proprietario e non quello dell'acaro

Carl Johnson

Quindi è utile solo per evitare lo smazzo di inserire ogni volta il codice OTP

mandraghen

No

Puoi anche avere ragione ma se usi le K il tuo commento non merita attenzione

Carl Johnson

Domanda per chi la sta già usando: quando tolgo la chiavetta avviene il logout automatico istantaneo?

takaya todoroki

"Quando lo colleghi sul pc non viene installato niente ."

quindi è un emulatore di tastiera?
o cos'altro?

E poi comunque va connesso, si può connettere ad un iPhone, ad esempio (la chiavetta OTP della banca sì, visto che non necessita di un collegamento fisico)

Code_is_Law

L’autenticazione hw non ha bisogna di driver . È come un otp con la differenza che non viene mostrato alcun codice ma devi collegarlo al pc in fase di autenticazione ( dopo averlo registrato in precedenza con quel account ovviamente ) . Quando lo colleghi sul pc non viene installato niente .

Code_is_Law

Io uso il ledger nano s ed è ottimo . L’unico problema è dover portarlo con me

NOP7356

Non c’entra nulla ma vuole fare il bullo

takaya todoroki

non si capisce cosa diavolo c'entri quello che hai scritto con l'autenticazione a due fattori di cui parla l'articolo...

Vash

poi dammi patente e libretto e appoggia le zampe sul volante, bene in vista.....

BLERY

san o son o song?!

Vash

fattore uno, MAI e dico MAI fidarsi di nessuno.. fattore due sto parlando delle versioni per chiavetta.... e se qualkuno si azzarda anche solo ad avvicinarsi alle mie kiavette fa una brutta fine mortale di tipo fisico

takaya todoroki

qui si parla di due fattori

takaya todoroki

se sai l'inglese

https://www.howtogeek.com/232314/u2f-explained-how-google-microsoft-and-others-are-creating-universal-two-factor-authentication-tokens/

è 'standard' in quanto aperto e chiunque può implementare sia la parte hardware che quella di verifica.
Differenza rispetto (ad esempio) agli SMS di verifica: questi ultimi possono essere letti da uno spione motivato o tramite phishing o dalle FDO tramite normale intercettazione, mentre la chiavata USB autentica solo il device in cui viene inserita quindi non c'è modo che un hacker ti chiami e ti convinca ad inserirla o di riferirgli un codice perché comunque l'autenticazione varrebbe solo per il device del vero utente.

Vash

boh saro' antidiluviano io... pgp e keepass a 2048 bit e passa la paura....

SommoPastore

grappa

freerider

"Google sembra aver trovato una soluzione efficace alla piaga del phishing" cit. Beh oddio, l'autenticazione a due fattori e i vari token sono in giro da un bel po e anche quelli annullano completamente il rischio di phishing. Che differenza hanno queste chiavi? perché utilizzarle al posto di altri token? Standard per chi? Qualche dettaglio in più non mi sarebbe dispiaciuto.

DeeoK

Devo mettere benzina o diesel?

takaya todoroki

comunque ho cercato: va inserita nel device quando richiesto, quindi è una via di mezzo tra l'OTP connection-less e un'autenticazione basata su una rete dati.

preferisco l'OTP che no ha bisogno di driver nè altro.

Top Cat
takaya todoroki

Esatto.
Funziona offline come le chiavette OTP delle banche?
O funziona online?

Perché devo andare su un altro sito per conoscere la base della notizia?

makeka94

Continuo a ritenere che siano una soluzione che non vada bene per la maggior parte della popolazione.

ghost

Metti la chiave togli la vhiave daniel-san

Honoré de Balzac

- phisshing + pissing

Android

Recensione Google Pixel 4 e confronto con iPhone 11 Pro

Amazon

Le migliori offerte Amazon, Unieuro e Mediaworld verso Black Friday 2019

Alta definizione

Samsung The Frame 2019: ecco perché è un TV differente | Video

Android

Recensione Xiaomi Mi Note 10: 5 cam posteriori e batteria grandissima