Due personaggi (tutsi, abissini, bantù, ???) camminano nella steppa, a piedi scalzi. Chiacchierano distrattamente del più e del meno. D'improvviso alzando lo sguardo si trovano di fronte un leone minaccioso, affamato (nel filmato a dire il vero pare un cucciolone, ma immaginatelo minaccioso).
Si bloccano, sanno che scappare sarebbe un errore. Poi uno dei due, con movimenti lentissimi, prende dalla sacca un paio di sneakers, e inizia a calzarle.
E l'altro: "non crederai di poter correre più forte di lui?".
"No, ma di te sì"
Faster than a lion? No, but faster than you.
Qualche settimana fa è entrata in vigore anche in Italia una direttiva europea che impone alle banche l'uso di sistemi di autenticazione multi-fattore per l'approvazione remota di transazioni bancarie, e più in generale per l'accesso ai servizi della banca. Il motivo è chiaro, ormai la sola password non basta più. Non è una questione di complessità, di cambiare password, di tenere il post-it in cassaforte. Non c'è nulla da fare, se la cosa è importante la sola password non basta.
La password è insufficiente perché noi stessi non riusciamo a tenerla segreta. Siamo sempre più abituati ad accedere a sistemi on-line che ci chiedono user e password, e ogni tanto non prestiamo abbastanza attenzione a dove la stiamo mettendo. Ed è facile cascare in una trappola e immetterla in un falso sito della banca, o di Amazon, o di Office 365... E in questo modo la raccontiamo al truffatore, che poi la usa per fare transazioni o per mandare mail a nome nostro ordinando bonifici verso una banca dell'est, ecc.
Quindi se la sola password è insufficiente allora le affianchiamo un secondo fattore: la password più il telefono ad esempio. O la password più la chiavetta dell'home banking (ora bandita). O la password più il telefono che a sua volta ti riconosce con l'impronta. E così via. Da un punto di vista puramente statistico la cosa ha senso perché le probabilità che ti scardinino sia la password che il secondo fattore, qualunque esso sia, sono il prodotto delle singole probabilità indipendenti, quindi bassissime. Ma qui stiamo ipotizzando che la cattura della password sia un elemento più o meno casuale. Ad esempio mandano milioni di mail e vedono chi ci casca. Allo stesso tempo rubano un sacco di telefonini. Poi se tra quelli che ci cascano uno ha un account interessante provano a rubare da quel conto, e se per caso hanno il telefono giusto ci riescono. Ovviamente le probabilità che gli finisca in mano proprio il telefonino di quella persona sono quasi nulle. Quindi la protezione via SMS funziona.
Ma è proprio così?
Non tanto.
Se il primo evento può essere casuale, il secondo potrebbe non esserlo. Becco la password di un personaggio che controlla un account importante. Poi gli rubo il telefono. Quello, non un telefono qualunque. Siccome quasi sempre il telefono mostra un sms in arrivo anche senza chiedermi il pin o l'impronta, il secondo fattore lo aggiro facilmente. Se rubo quello specifico telefono. Quindi devo essere nella stessa città della vittima, o andarci, o trovare un socio in quel posto. Oppure agisco sull'operatore e lo convinco che sono il proprietario di quel numero e che ho perso la sim. Devo essere capace di truffare l'operatore, ma in compenso non serve avvicinare la vittima.
Anche i meccanismi basati sull'impronta digitale (e non sms) sono aggirabili. Posso mettere in piedi un sito che finge di essere la banca e che chiede di verificare l'impronta, mentre dietro le quinte fa una transazione e quindi scatena una vera richiesta di verifica. È più difficile, costoso e soprattutto deve essere un attacco mirato. Devo indentificare una vittima e lavorare su quella.
Il secondo fattore non è imbattibile, tutt'altro. Un attacco mirato, e piuttosto sofisticato può aggirarlo, ma una semplice mail di phishing non sarà sufficiente, ci vuole una organizzazione, competenza e servono investimenti.
Insomma, la sicurezza non è mai assoluta. È sempre relativa. Le probabilità di essere vittima di un furto possono essere più o meno alte, in funzione di quanto sono sofisticate le difese, ma non saranno mai nulle.
E il leone?
Cosa c'entra il leone?
È semplice: ci basta rendere le nostre sicurezze abbastanza buone da spingere il ladro a rubare da qualche altra parte, perché è più facile. Sarà un po' cinico, ma è così. E questo obiettivo lo raggiungo in pieno con la MFA.
Proprio come col leone.