Google, arrivano le chiavette USB di sicurezza contro il phishing

Google, arrivano le chiavette USB di sicurezza contro il phishing

L'azienda di Mountain View ha deciso di combattere il phishing e per farlo ha ufficialmente realizzato le chiavi di sicurezza Titan capaci di proteggere i documenti degli utenti dagli attacchi degli hacker.

di pubblicata il , alle 16:31 nel canale Sicurezza
Google
 

Google vuole intervenire in maniera decisa sulla sicurezza su internet e per farlo ha deciso di introdurre sul mercato le proprie strumentazioni testate addirittura dai suoi 85 mila dipendenti. Parliamo chiaramente della Titan Security Key ossia le chiavette anti-phishing che possono cercare di proteggere gli utenti dagli attacchi malevoli di hacker. In questo caso l'autenticazione a più fattori diventa una soluzione sempre più utilizzata per proteggere i dati sensibili e anche secondo Google sembra essere la migliore per proteggersi.

Lo scopo delle nuove Titan Security Key altro non è se non la possiblità di avere un sistema di autenticazione che possa ritenersi più sicuro evitando il furto delle password su di un profilo online. Nella pratica le nuove chiavette di Google si avvicinano in qualche modo alle classiche chiavette che spesso vengono usate dagli utenti per accedere al proprio conto bancario online. In questo caso ogni qualvolta che dovremo accedere ad un profilo personale la Titan Key fornirà all'utente una password completamente univoca che potrà dunque essere utilizzata per accedere assieme alla password classica all'utenza.

Secondo Krebs on Security da quando nel 2017 Google ha richiesto ad oltre 85.000 dipendenti di provare a utilizzare le security keys invece della autenticazione a due fattori basata su codici, nessun account è stato hackerato tramite phishing. "Non abbiamo avuto violazioni di account né segnalate né confermate da quando abbiamo inserito le chiavi di sicurezza su Google", ha affermato un portavoce della società. "Agli utenti potrebbe essere richiesto di autenticarsi con la propria chiave di sicurezza per alcune app, in base alla sensibilità dell'app stessa o del rischio dell'utente in quel momento."

Al momento Google non ha ancora rilasciato la sua chiavetta ma ha fatto sapere che arriverà molto presto. Sul mercato ad oggi sono già presenti chiavette di questo genere come la Yubiko YubKey la quale ha un costo che varia dai 40 ai 50 euro ma è il modello con funzione Bluetooth e dunque compatibile con qualsiasi computer cha ha una porta USB e con qualsiasi smartphone e tablet con Bluetooth a prescindere dal sistema operativo in uso. In questo caso la Yubiko supporta OTP (One Time Password), FIDO U2F (Universal 2nd Factor) e smart card PIV, OpenPGP, OATH-TOTP e OATH-HOTP.

Il suo funzionamento risulta decisamente semplice ed immediato visto che basterà inserirla nella porta USB del PC e premere semplicemente il tasto. In questo caso la YubiKey sostituisce SMS, app di autenticazione, token RSA e altre soluzioni simili dunque elimina la necessità di digitare qualsiasi codice aggiuntivo.

Allo stesso modo funzionerà la chiavetta Google sarà quanto mai simile visto che basterà accedere al proprio account Google e impostare l’autenticazione a due fattori. A questo punto si dovrà configurare l’account sincronizzandolo con la Titan Key, in modo che i codici generati dalla chiave vengano accettati dal nostro profilo. Una volta conclusa la sincronizzazione, per loggarsi al proprio account Google basterà usare uno dei codici generati dalla Titan Key oppure avvicinare la versione Bluetooth e attendere che smartphone e chiavetta si scambino dati. Lo strumento di sicurezza informatica può essere usato sia sui servizi Google, come Gmail per esempio, sia su altri siti web, compresi i principali social media come Facebook.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6927 Luglio 2018, 17:51 #1
Quindi l'idea è quella di proteggere meglio i dati degli utenti cui poi gli sviluppatori di terze parti hanno accesso sulle app di Google...

https://www.hwupgrade.it/news/web/g...ione_76880.html

A quando invece una chiavetta che invece impedisca agli sviluppatori di usare quei dati personali ed assicurare una privacy decente invece che preoccupari di phishing da parte di hacker?
Tasslehoff27 Luglio 2018, 19:00 #2
Gentile Bruno Mucciarelli ma che c'entra il phishing con l'autenticazione multifattore?

Questo è un meccanismo di autenticazione, previene l'accesso non autorizzato ad un servizio (nel caso specifico i servizi di Google e per chi lo implementerà anche l'accesso ai propri servizi), ma non previene affatto il phishing.

Scritto così il titolo è del tutto fuorviante.
Cooperdale27 Luglio 2018, 19:16 #3
Quella dei dati personali sta diventando una menata di proporzioni cosmiche.
marcram27 Luglio 2018, 19:17 #4
Originariamente inviato da: Tasslehoff
Gentile Bruno Mucciarelli ma che c'entra il phishing con l'autenticazione multifattore?

Questo è un meccanismo di autenticazione, previene l'accesso non autorizzato ad un servizio (nel caso specifico i servizi di Google e per chi lo implementerà anche l'accesso ai propri servizi), ma non previene affatto il phishing.

Scritto così il titolo è del tutto fuorviante.


Ma l'autenticazione multifattore risolve i problemi di phishing, proprio perché anche se ti fregano user e password, non possono accedere ai tuoi account...
plunderstorm27 Luglio 2018, 20:44 #5
in google si usano da anni le chiavette yubico, prima ancora i token che generavano il codice.

sinceramente non le ho ancora viste queste nuove titan, arriveranno
Qarboz27 Luglio 2018, 22:25 #6
Ma se si guasta la chiavetta non posso più loggarmi ai vari servizi?
plunderstorm28 Luglio 2018, 09:37 #7
Originariamente inviato da: Qarboz
Ma se si guasta la chiavetta non posso più loggarmi ai vari servizi?


Se si guasta puoi usare metodi alternativi:

Codici di recupero che ti danno quando attivi l'autenticazione in 2 passaggi
Se hai inserito un cellulare ti fai chiamare/ mandare messaggio con il codice.
Ecc.
+Benito+28 Luglio 2018, 11:40 #8
in un futuro spero non troppo lontano user e pw saranno un lontano ricordo, un'identificazione fisica, se è ben fatta, è tremendamente più sicura, a meno che non sia craccabile/simulabile...e qui mi fermo.

Detto questo, il problema principale della sicurezza rimarrà sempre l'uomo ignorante, e visto che l'ignoranza è in aumento e il numero di persone che usano la rete anche, le prospettive sono negative.
Nuke98728 Luglio 2018, 15:47 #9
Originariamente inviato da: Cooperdale
Quella dei dati personali sta diventando una menata di proporzioni cosmiche.

Ah! Mi hai triggerato Magari sarà una menata per te. Per me non lo è affatto. Se fai certi lavori e/o ti ritrovi a gestire tu stesso i dati personali millemila persone ti assicuro che ci pensi continuamente.

Originariamente inviato da: +Benito+
in un futuro spero non troppo lontano user e pw saranno un lontano ricordo, un'identificazione fisica, se è ben fatta, è tremendamente più sicura, a meno che non sia craccabile/simulabile...e qui mi fermo.

In tal caso io continuerò comunque ad utilizzare username e password. Dare informazioni biometriche della mia persona ad un affare che non può dare alcuna garanzia di sicurezza da qui all'eternità non mi piace. Sono consapevole del fatto che la sicurezza al 100% non esiste e che devo accettare la possibilità che ci sia una falla ma una cosa è farsi rubare una password ben altra la faccia, l'impronta digitale, la retina e via discorrendo. La password la cambio. La faccia no. Ecco perché non utilizzerò mai queste tecnologie. Le mie password da 47+ caratteri funzionano più che bene
Tasslehoff28 Luglio 2018, 16:04 #10
Originariamente inviato da: marcram
Ma l'autenticazione multifattore risolve i problemi di phishing, proprio perché anche se ti fregano user e password, non possono accedere ai tuoi account...
Ok ma si tratta di due ambiti totalmente differenti, 2FA riguarda autenticazione, phishing è una raccolta di dati sensibili che possono essere credenziali ma non sono certamente solo quelle (pensiamo ai dati di una carta di credito).

E' il modo in cui è stato scritta la news che è fuorviante, leggendo superficialmente sembra che questi dispositivi prevengano il phishing, invece fanno altro, e semmai aiutano a mitigare alcune criticità che possono derivare dal phishing.

Se un utente subisce un tentativo di phishing e sbagliando userisce username e password su un sito contraffatto il meccanismo di autenticazione multifattore può mitigare l'attacco (i dati raccolti non sono sufficienti per loggarsi) ma comunque buona parte dei dati critici è stata compromessa e raccolta dall'attaccante. L'attacco quindi ha avuto esito positivo.
Se poi il dispositivo usato per la login con autenticazione multifattore è esso stesso infetto (es dispositivo mobile) e il meccanismo di autenticazione multifattore è debole (es sms) o compromesso (es alcuni generatori di OTP) allora l'attacco avrà successo e i dati raccolti saranno completi.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^