Google avvisa gli utenti del Chromebook di reimpostare le proprie chiavi di sicurezza interne
invenzione del autenticazione a due fattori (2FA) è stata resa necessaria dai difetti intrinseci del tradizionale sistema di nome utente e password. Gli esperti di sicurezza hanno sostenuto il suo utilizzo per anni e, a causa dei costanti elogi, alcune persone sono tentate di pensare che abilitando 2FA, hanno quasi eliminato tutte le possibilità di acquisizione del account. Ecco perché accendono 2FA e prestano molta meno attenzione alle loro password.
Questi utenti tendono a dimenticare, tuttavia, che se 2FA fallisce, la modesta password è unica cosa che protegge i propri dati. E una vulnerabilità del Chromebook recentemente rivelata da Google fornisce ancora più prove del fatto che 2FA può fallire. Prima di arrivare ai dettagli, dobbiamo vedere come funziona il sistema 2FA in questione.
Table of Contents
Alcuni Chromebook sono dotati di sistemi 2FA integrati
Come probabilmente saprai, 2FA può essere implementato in diversi modi. Gli esperti considerano i sistemi che ruotano attorno allo standard U2F il più sicuro perché il secondo fattore si basa spesso su un token hardware che non può essere dirottato su Internet. Inoltre, al suo interno, complessi algoritmi crittografici generano chiavi speciali che forniscono molta più sicurezza rispetto ai codici inviati tramite messaggi di testo o password temporanee.
Poco più di un anno fa, Google ha deciso di implementare un sistema 2FA simile nei suoi Chromebook. La differenza è che ha eliminato i token hardware aggiuntivi. Invece, tutto ciò che devi fare per attivare il secondo fattore è premere il pulsante di accensione sul Chromebook. Inizialmente, il sistema era disponibile solo sui Pixelbook di Google, ma dopo un po, altri produttori hanno iniziato a utilizzare chip che lo abilitavano anche sul proprio hardware. Google chiama la tecnologia "chiave di sicurezza integrata" ed è irremovibile che sia ancora in fase di test. Chiaramente, ci sono cose che devono essere affrontate.
Un difetto nel implementazione 2FA di Google ha messo a rischio le chiavi di sicurezza
Al centro del vulnerabile sistema 2FA è un algoritmo di firma digitale a curva ellittica (ECDSA) che dovrebbe generare valori segreti casuali. Questi valori funzionano insieme alle firme crittografiche registrate con il servizio online per generare le chiavi che forniscono il secondo fattore.
Il team di sicurezza di Google ha scoperto che a causa di u implementazione errata del ECDSA, i valori generati avevano u entropia molto più bassa del previsto. Ciò significava che un attaccante poteva indovinare quali fossero questi valori e, usando le firme rubate, calcolare la chiave fondamentale, sconfiggendo il secondo fattore senza avere accesso al Chromebook della vittima.
Va detto che non tutti possono attuare un simile attacco. Prima di tutto, gli hacker devono ottenere la firma giusta, che di solito viene trasmessa su HTTPS ed è difficile da intercettare. Quindi, dovranno capire come funziona la generazione vulnerabile del ECDSA e calcolare i valori esatti che alla fine li condurranno alla chiave.
La vulnerabilità è già stata patchata
Nonostante il fatto che un attacco non sembri molto probabile per la maggior parte delle persone, Google ha fatto la cosa giusta e risolto il problema della sicurezza. Chrome OS versione 75 viene fornito con una patch e gli utenti di Chromebook (in particolare quelli che possiedono laptop elencati nella sezione "Dispositivi interessati" della divulgazione di Google ) devono assicurarsi che sia installato. Le persone che hanno utilizzato il vulnerabile sistema 2FA dovrebbero anche prestare attenzione agli avvisi mostrati dal sistema operativo e sostituire le loro firme registrate con quelle nuove.
Una cosa che le persone non devono fare è disattivare 2FA a causa di vulnerabilità come quella sopra descritta. Sì, a volte non riesce ad agire come dovrebbe, ma anche implementazione meno sicura aggiunge ancora un livello di protezione che semplicemente non esiste senza di essa. Non dimenticare, tuttavia, che il primo fattore è importante quanto il secondo.