Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2

Di autenticazione a due fattori abbiamo spesso parlato: si tratta di una misura di sicurezza addizionale che molti provider consentono di aggiungere e di utilizzare accanto alle tradizionali credenziali d’accesso (nome utente e password).
Abilitando l’autenticazione a due fattori sui servizi che lo permettono al nome utente e alla password si abbia un “secondo fattore” che è di solito “una cosa che si ha con sé” come lo smartphone o un token, una chiavetta. Come “secondo fattore” si possono però usare anche il rilevamento dell’impronta digitale, dell’iride o del timbro vocale.

Al sistema di autenticazione a due fattori i vari provider possono assegnare nomi diversi: Google, ad esempio, parla di verifica in due passaggi: Verifica in due passaggi Google: solo 10% degli utenti la usano.
Senza installare alcuna applicazione aggiuntiva e solo disponendo di uno smartphone Android, gli utenti che attivano la verifica in due passaggi di Google possono usare il dispositivo mobile come secondo fattore per autorizzare l’accesso e l’utilizzo dei propri account.
In altre parole, per accedere agli account non basterà più l’inserimento di nome utente e password: tentando di effettuare il login da dispositivi sconosciuti a Google, da browser o da luoghi che non sono quelli abituali, la verifica in due passaggi chiederà di autorizzare l’accesso dal dispositivo mobile fisicamente in possesso del titolare dell’account.

Così facendo si può evidentemente fidare su un livello di sicurezza aggiuntivo perché se un malintenzionato riuscisse a sottrarre nome utente e password non potrà comunque accedere direttamente al contenuto dell’account perché ogni tentativo di login sconosciuto dovrà essere autorizzato da smartphone.
La società di Mountain View chiama Messaggio di Google questa specifica modalità di autenticazione a due fattori.

Un’ottima alternativa per l’autenticazione a due fattori, compatibile con i principali servizi online e presto anche con Windows 10 consiste nell’utilizzo di una chiavetta U2F FIDO2: ne abbiamo parlato nell’articolo Accedere a Google, Gmail e Dropbox senza digitare password.

In questo caso le chiavette U2F FIDO2 si trasformano in token per l’accesso agli account compatibili e presto per il login in Windows 10 grazie a Windows Hello.

Yubico è una delle aziende più famose nel settore (Autenticazione a due fattori con le nuove YubiKey 5: disponibile anche un modello con chip NFC); Google ha recentemente presentato la sua Titan Key (Google Titan Key: lanciata negli USA a 50 dollari nelle versioni USB e Bluetooth); nei giorni scorsi abbiamo parlato del progetto Solo, per larga parte italiano (Autenticazione a due fattori: Solo è la prima chiave di sicurezza opensource FIDO2).

Una chiavetta U2F FIDO2 facilita e velocizza l’autenticazione a due fattori collegando la chiavetta al PC usando una porta USB oppure via Bluetooth o NFC, utile soprattutto nel caso dei dispositivi mobili.
A questo proposito, i tecnici di Yubico hanno spesso ricordato come le chiavette FIDO basate sull’utilizzo della tecnologia Bluetooth non offrano sufficienti garanzie in termini di sicurezza. Yubico aveva inizialmente valutato l’eventualità di immettere sul mercato chiavette Bluetooth (BLE) preferendo poi astenersi dal farlo per questioni di sicurezza, usabilità e durabilità.
Alcune chiavette USB Google Titan vedono la presenza del chip NFC ma il suo utilizzo è per il momento disattivato ed è permesso l’impiego esclusivo del modulo Bluetooth.

Quali dati vengono memorizzati in una chiavetta U2F FIDO2 per l’autenticazione a due fattori

Le chiavette FIDO2 rappresentano la più recente incarnazione dei token utilizzabili per l’autenticazione a due fattori: garantiscono massima sicurezza e interoperabilità essendo basate sull’ultima versione delle specifiche approvate dal consorzio FIDO (“Fast IDentity Online”) Alliance formato ormai da oltre 260 membri (qui l’elenco completo).
A sua volta FIDO2 sfrutta il protocollo aperto U2F che fissa le modalità con cui i dati devono fluire usando le varie tipologie di interfacce supportate (USB, NFC,…).

Ma quali dati dell’utente sono conservati nella chiavetta U2F FIDO2 utilizzata per l’autenticazione a due fattori? Assolutamente niente.
Nessun dato personale viene memorizzato nella chiavetta usata per l’autenticazione a due fattori, tanto meno alcuna informazione relativa ai singoli account utente.

Ciò significa che se si dimenticherà una chiavetta da qualche parte, se la si perdesse o essa venisse rubata, nessuna informazione personale potrà essere direttamente riutilizzata da parte di terzi. La perdita di una chiavetta U2F FIDO2 usata per l’autenticazione a due fattori non ha di per sé implicazioni in termini di sicurezza.

Cosa fare se si perde una chiavetta U2F FIDO2

L’unica cosa da fare quando si realizza di aver perso una chiavetta U2F FIDO2 consiste nel rimuovere tale dispositivo dall’elenco di quelli autorizzati.
È quindi necessario portarsi su un dispositivo già loggato sull’account di proprio interesse, accedere alle impostazioni quindi rimuovere la chiavetta USB2 FIDO2 persa.

Nel caso di Google, per esempio, basta fare riferimento alla sezione Token di sicurezza contenuta in questa pagina.

L’operazione andrà ovviamente ripetuta per tutti gli account utente sui quali si fosse configurata la chiavetta U2F FIDO2 persa come strumento per l’autenticazione a due fattori. L’importante è effettuare l’intervento prima possibile per non correre il rischio di rimanere esclusi dall’utilizzo dell’account. Verificare anche di aver inserire uno o più numeri di telefono mobili per il recupero dell’accesso in caso di emergenza.
In generale è comunque opportuno configurare più strumenti per l’autenticazione a due fattori così da non correre rischi e avere sempre la possibilità di accedere ai propri account utente.
A questo proposito suggeriamo di dare un’occhiata alla situazione che abbiamo descritto nel nostro articolo Rintracciare un cellulare rubato diventa impossibile se Google chiede la conferma dell’identità.