L’autenticazione basata su password è il punto debole della sicurezza dei sistemi digitali. Scopriamo come gli attaccanti possono aggirare anche le protezioni avanzate con un attacco di tipo MITM (Man-in-the-Middle).
Le forme di autenticazione dell’identità degli utenti basate su password o altre informazioni note continuano a rappresentare un punto critico per la sicurezza dei sistemi digitali. I dati raccolti da Verizon nell’ultimo decennio svelano che le credenziali rubate sono state un fattore in quasi un terzo di tutte le violazioni registrate.
Riconoscendo questo problema, ci si è spostati verso metodi di autenticazione più moderni, come FIDO2, che convalida gli utenti attraverso credenziali crittografiche uniche generate e legate a dispositivi hardware, come smartphone o computer desktop. Questa forma di autenticazione non si basa su password, ma associa una chiave di sicurezza o un ID biometrico su un dispositivo hardware con l’autenticazione multifattore per accedere alle applicazioni attraverso una soluzione di Single Sign-On (SSO).
Tuttavia, anche queste protezioni possono essere eluse in alcune circostanze da un attaccatore determinato. Una recente ricerca di Silverfort ha delineato un metodo per bypassare questa forma di autenticazione, tramite un attacco di tipo MITM (Man-in-the-Middle), capace di intercettare e replicare le sessioni utente in molte applicazioni che utilizzano soluzioni SSO, tra cui Microsoft Entra ID e PingFederate.
Gli standard come FIDO2 sono stati sviluppati per proteggere gli utenti e le aziende da attacchi di phishing e MITM. Ma token, utilizzati per mantenere aperte le sessioni digitali, possono essere intercettati e riutilizzati per accedere all’account di un utente. Questo perché l’autenticazione si concentra sulla fase di accesso, ma una volta che un utente è autenticato, ci sono poche restrizioni a quanto può accedere con una sessione valida.
Il tipo di attacco descritto nella ricerca di Silverfort può essere mitigato da una tecnica chiamata “token binding“, che aggiunge un ulteriore livello di sicurezza, legando esplicitamente il token della sessione autenticata all’handshake di TLS, che crittografa il traffico sul lato utente. Aziende tecnologiche come Google, Microsoft, Yubico e altre hanno adottato il token binding in alcuni dei loro prodotti, ma l’adozione generale rimane bassa.
Secondo Jeremy Grant, consulente politico presso la FIDO Alliance, è responsabilità degli sviluppatori di applicazioni prevenire gli abusi dei token di sessione creati. Nonostante la ricerca di Silverfort metta in luce alcune lacune nel processo su cui si basano standard come FIDO2, i ricercatori sottolineano che tali metodi rimangono nettamente superiori alle password e ad altre forme di protezione dell’identità basate sulla conoscenza.