Archivi

Ultimi Commenti

Categorie

Blog

CryptoCard_two_factor

Token Online o Offline? Pro e Contro

Quale token scegliere per l’autenticazione a due fattori?

E’ molto facile per gli hacker accedere alle tue informazioni ma con l’autenticazione a due fattori dovrai essere autorizzato per effettuare i test di verifica. Quindi per avere le informazioni per accedere al tuo account e superare la sicurezza del tuo hardware, dovrai avere in mano il tuo cellulare o il token.

Esistono due tipologie di token:
Con i token online puoi prendere parte a un challenge/response dal server e digitare la risposta, inclusa la firma crittografata della transazione. Ad esempio in una smartcard, il chip è in grado di firmare in maniera crittografata una transizione, non come una classica carta di credito che può inviare soltanto un numero statico. Quindi anche un ladro sveglio non riuscirà più ad ottenere le tue chiavi che gli consentirebbero di siglare la transizione. Nonostante l’avanguardia però, i token online sono ad oggi soggetti ad attacchi MitM, per cui è richiesta una connessione per poter verificare che tu sei il possessore.

I token offline funzionano out-of-band, cioè senza una connessione diretta con chi chiede l’autenticazione, che solitamente avviene tramite una chiave segreta condivisa. Si suddividono in 3 categorie:
– I token time-based si alimentano con una batteria e fanno hashing con il numero corrente dei secondi trascorsi dal 1° gennaio 1969 mostrando sul display una parte del risultato. Utilizzano quindi un segreto condiviso tra il token e chi esegue l’autenticazione, che può calcolare il numero visualizzato sul display ed essere certo che sia quello inserito. Ne sono esempi Google Authenticator, un token RSA o un Symantec Vip.
– I token sequence-based presuppongono che tu abbia un elenco prestabilito di numeri, come un pad one-time. Anche se fossi spiato, gli hacker potrebbero conoscere il tuo numero attuale ma non il prossimo numero valido della sequenza, perciò non potrebbero danneggiarti in futuro.
– I token OTP based come il pad on-demand o on-time, se usato correttamente, non è violabile poiché prevede che un codice di autenticazione sia trasmesso all’utente attraverso un SMS o una telefonata in automatico.

Pro e Contro
L’autenticazione a due fattori migliora decisamente la sicurezza con uno sforzo ragionevolmente minimo ma spesso può far frenare il costo.

I token offline sono ragionevolmente sicuri, pur avendo un costo basso ma puoi perderli o dimenticarli, quindi molti preferiscono utilizzare il loro cellulare come token. E’ senza dubbio più comodo, ma può diventare vulnerabile, dato che la compromissione del telefono porterebbe inevitabilmente alla compromissione totale dei tuoi dati.

condividi!

AUTHOR - Redazione Hosting

No Comment

1

Post A Comment