È consigliabile utilizzare dispositivi di sicurezza hardware come le YubiKey di Yubico e i Token di sicurezza Titan di Google. Tuttavia, entrambi i produttori hanno recentemente ritirato dal mercato alcune chiavi a causa di imperfezioni strutturali, sollevando qualche preoccupazione. Ma qual è la natura di questi problemi? Questi dispositivi rimangono sicuri?
Cosa sono i dispositivi di sicurezza hardware?
I dispositivi di sicurezza fisici, come i Titan Security Key di Google e le YubiKey di Yubico, si basano sullo standard WebAuthn, l’evoluzione del protocollo U2F, per salvaguardare i tuoi account. Essi agiscono come un ulteriore livello di protezione, un’autenticazione a due fattori alternativa: invece di inserire un codice, si utilizza una chiave fisica che si connette tramite porta USB o, in modalità wireless, attraverso NFC (Near Field Communication) o Bluetooth.
Queste chiavi possono essere impiegate come token di sicurezza hardware per accedere a vari account, tra cui Google, Facebook, Dropbox e GitHub. Il programma di protezione avanzata di Google consente addirittura di richiedere l’impiego esclusivo di una chiave di sicurezza fisica per l’accesso al proprio account.
Perché Google e Yubico hanno effettuato il richiamo?
Negli ultimi tempi, sia Yubico che Google sono state al centro dell’attenzione. Entrambe le aziende hanno dovuto ritirare alcune chiavi di sicurezza a causa di problematiche strutturali.
La questione che riguarda Yubico è limitata ai dispositivi FIPS della serie YubiKey, e non concerne i prodotti destinati al pubblico. Come evidenziato nell’Avviso di sicurezza di Yubico, queste chiavi presentano un’insufficiente casualità nella generazione di numeri dopo l’accensione, esponendo la loro crittografia a potenziali vulnerabilità. Tali dispositivi sono destinati esclusivamente ad enti governativi e appaltatori: se non richiesto legalmente, non è consigliabile optare per i modelli FIPS. Yubico non ha segnalato alcun attacco basato su questa debolezza, ma sta provvedendo alla sostituzione dei dispositivi interessati.
Il problema relativo ai token di sicurezza Titan di Google, che ha comportato il richiamo e la sostituzione dei dispositivi coinvolti, ha avuto conseguenze più rilevanti. La versione Bluetooth del token di sicurezza Titan, che si avvale della tecnologia Bluetooth Low Energy per la comunicazione wireless, era suscettibile a potenziali attacchi a causa di quella che Google ha definito una “configurazione impropria“. Un malintenzionato situato entro un raggio di 9 metri da un utente che utilizzava il token per accedere al proprio account avrebbe potuto sfruttare questa falla. In alternativa, l’aggressore avrebbe potuto indurre il computer della vittima ad abbinarsi ad un dongle Bluetooth diverso dalla chiave di sicurezza. Questa vulnerabilità ha interessato anche le chiavi di sicurezza prodotte da Feitan, l’azienda responsabile della fabbricazione delle chiavi Titan per Google.
Microsoft ha rilasciato un Aggiornamento di Windows per impedire a queste chiavi vulnerabili di Google Titan e Feitan di connettersi ai sistemi Windows 10 e Windows 8.1 tramite Bluetooth.
Yubico non ha mai commercializzato chiavi Bluetooth. Quando Google ha presentato la sua chiave Titan, Yubico ha dichiarato di aver preso in considerazione il lancio di una propria chiave Bluetooth Low Energy (BLE), ma ha affermato che “BLE non offre lo stesso livello di sicurezza di NFC e USB”. Le problematiche riscontrate da Google hanno in qualche modo giustificato la decisione di Yubico di concentrarsi sulla tecnologia USB e NFC anziché sul Bluetooth.
Sia Google che Yubico hanno ritirato dal mercato e sostituito gratuitamente le chiavi che presentavano le problematiche descritte.
Questi dispositivi sono ancora consigliabili?
Malgrado le imperfezioni e i richiami, i dispositivi di sicurezza fisici rimangono una valida opzione. Yubico ha riscontrato un problema di casualità in una specifica linea di prodotti destinati al governo, provvedendo alla sua sostituzione. Google ha avuto difficoltà con la tecnologia Bluetooth, ma tale problema poteva essere sfruttato solo da malintenzionati in un raggio di 9 metri dall’utente. Anche una chiave Bluetooth Titan difettosa offre comunque una protezione dagli attacchi a distanza.
Queste chiavi continuano a mantenere elevati standard di sicurezza. È incoraggiante la trasparenza con cui sia Yubico che Google hanno divulgato i difetti, offrendo la sostituzione gratuita dei dispositivi interessati. Le problematiche non hanno mai coinvolto le chiavi di sicurezza standard USB o NFC destinate all’utenza comune.
Il problema principale relativo a questi dispositivi è analogo a quello che riguarda tutte le forme di autenticazione a due fattori. Molti servizi online permettono di rimuovere la chiave di sicurezza ricorrendo a metodi meno sicuri, come gli SMS. Un malintenzionato che ha effettuato una truffa di port-out del telefono potrebbe accedere al tuo account anche in presenza di una chiave fisica. Solo i servizi ad elevata sicurezza, come il programma di protezione avanzata di Google, offrono una protezione adeguata in queste circostanze.