I calcolatori sono strumenti ormai indispensabili : affidiamo loro la gestione dei nostri conti bancari, della nostra salute, delle comunicazioni più importanti.
Altrettanto indispensabile è che i calcolatori riconoscano chi sta interagendo con loro. Non voglio certo che il mio conto in banca sia visibile a chiunque, né che qualcun’altro possa inviare comunicazioni importanti firmandosi col mio nome.
Il tema dell’autenticazione è storicamente affrontato con l’uso di username e password. I calcolatori riconoscono chi interagisce con loro verificando la conoscenza di una “parola d’ordine“, immessa nella macchina insieme ad un “nickname” identificativo.
Si è presto resa evidente la fragilità di questo metodo. Basta sbirciare la “parola d’ordine” immessa da chi vogliamo impersonare e siamo già lui. Spesso sbirciare non è neanche necessario : basta tirare ad indovinare.
Peggio ancora, può essere copiato il “registro” su cui sono conservate tutte le parole d’ordine degli utenti registrati : in un colpo solo è compromessa la sicurezza dei dati di una gran quantità di utenti.
Ne sa qualcosa Ubiquiti Networks : il gigante statunitense si è visto rubare una mole imprecisata di dati su account di utenti registrati, trovandosi a dover segnalare il fatto a tutti i suoi clienti, con una mail inviata l’undici Gennaio scorso (leggibile Qui).
Username e password trafugate sono state messe in vendita nel dark web, con conseguente messa a rischio delle utenze interessate.
Ecco perché non possiamo affidarci a strumenti di autenticazione basati su conoscenze statiche : sono evadibili con troppa semplicità.
Per fortuna è stata sviluppata l’autenticazione a più fattori (Multi-Factor Authentication – MFA). Adottandola, al calcolatore non basta più leggere la “parola d’ordine” corretta. Vuole sapere qualcos’altro. È la natura del qualcos’altro a fare la differenza e a determinare un più o meno drastico aumento nella sicurezza dei nostri Account. Possiamo affidarci a due categorie di oggetti:
- Qualcosa che so: una ulteriore parola d’ordine – meglio se non statica, ovvero variabile nel tempo e con la maggiore entropia possibile
- Qualcosa che ho: un oggetto che possiedo solo io, una qualità fisica che mi contraddistingue e non ho in comune con nessun altro
La prima categoria è più fragile: le informazioni circolano, si muovono tra uomini come tra i nodi di una rete e tra dispositivi diversi.
La seconda è più forte: un oggetto unico è per definizione solo in mio possesso, e non può circolare con la fluidità delle informazioni.
Per questo, vari enti pubblici e privati (tra cui Google e Yubico) si sono uniti in uno sforzo comune al fine di sviluppare dei protocolli di autenticazione basati interamente su qualcosa che ho. Questa collaborazione (FIDO Alliance http://www.fidoalliance.org) ha dato luce al protocollo FIDO, eletto rapidamente a standard per l’autenticazione sicura dalla comunità tecnologica globale.
Il FIDO prevede l’utilizzo di una chiave segreta salvata in un dispositivo hardware, in modo da essere irraggiungibile dall’esterno (anche in caso di tentativi di manomissione meccanica) e dunque immune a tentativi di copiatura. Server e client interagiscono attraverso un’interfaccia USB o NFC (Near-Field Communication) avvalendosi di un protocollo di cifratura su chiave pubblica. Le chiavi private sono custodite esclusivamente sul dispositivo di autenticazione in mano all’utente.
L’autenticazione è quindi effettuata senza il bisogno di immettere codici o informazioni di alcun tipo, basandosi interamente sul possesso di un oggetto “chiave”. Il meccanismo può essere ulteriormente rafforzato introducendo elementi biometrici, come il riconoscimento dell’impronta digitale.
Yubico, tra i pionieri del protocollo, è stata la prima azienda sul mercato insieme a Google a fornire al grande pubblico chiavette in grado di gestire questo tipo di autenticazione. La YubiKey 5 NFC è l’attuale riferimento assoluto in termini di chiavette di autenticazione : oltre al FIDO supporta una lunga lista di protocolli di autenticazione : OpenPGP, Smartcard (PIV), OATH (TOTP, HOTP), FIDO U2F.
E’ l’unica chiavetta sul mercato ad implementare così tanti protocolli diversi, permettendo di rendere sicuro l’accesso ad una vastissima collezione di servizi web ed intranet.
Tornando al caso Ubiquiti, con l’implementazione di una doppia autenticazione siamo in grado, come utenti, di incrementare drasticamente la sicurezza dei nostri sistemi, “immunizzandoci” di fronte al mero furto di username e password, non più sufficienti a completare il riconoscimento dell’utente.
Vediamo dunque come integrare rapidamente la Yubikey nell’autenticazione agli account Ubiquiti.
Come rendere sicuri gli account Ubiquiti
Dopo aver resettato la password, è possibile settare un secondo fattore di autenticazione.
Purtroppo Ubiquiti supporta esclusivamente un secondo fattore mediante l’utilizzo di un App in grado di generare one-time passwords, nel protocollo TOTP.
Dato il carattere obsoleto di questo protocollo, è già stata richiesta dagli utenti l’implementazione di un fattore di autenticazione hardware-based, come il FIDO2 sviluppato da Yubico (https://community.ui.com/questions/Security-key-Yubikey-support-when-logging-in-with-Ubiquiti-account-FIDO2-WebAuthn-FIDO-U2F/41ac3291-1fba-40b1-b875-3099926ae637)
Comunque, possiamo rendere il TOTP più sicuro grazie all’utilizzo di Yubico e della sua Yubico Authentication App.
Procediamo in pochi semplici passi:
1- Scaricare l’App per Smartphone Yubico Authenticator
2- Attivare l’autenticazione a due fattori sull’Account Ubiquiti
3- Connettere Yubico Authenticator all’account, scansionando il QR code
A questo punto il gioco è fatto: accedendo alla App Authenticator e connettendo la Yubikey in NFC avrete a disposizione dei codici OTP generati in sicurezza dalla chiavetta!
Il vostro account Ubiquiti è ora al sicuro!
Se non disponete di uno smartphone, la stessa procedura può essere effettuata con la App per Windows/macOS/Linux, scaricabile a questo link.
PRO rispetto ad altre Authentication App
- non legata allo specifico dispositivo mobile
- l’autenticazione può avvenire utilizzando la Yubikey con qualunque installazione dell’App Yubico
- segreto e chiavi OTP mai salvati sul dispositivo mobile: la sicurezza resta sempre nella Yubikey
Per scoprire tutti i vantaggi dell'autenticazione a due fattori Yubico non perderti il nostro webinar gratuito ondemand, Clicca Qui!