Vulnerabilità VMware ESXi: dettagli, versioni interessate, azioni raccomandate
A seguito della notizia datata 4 Febbraio 2023 dell’agenzia della cybersicurezza nazionale in merito allo sfruttamento della…
Vuoi rimanere aggiornato con le ultime notizie? Iscriviti alla nostra newsletter
Roberto Leone
Una delle architravi della sicurezza informatica è il concetto di autenticazione, ovvero la capacità di poter provare (a una persona/software/sistema informatico) la propria identità. Lo facciamo ogni volta che entriamo nel nostro account di posta elettronica o nelle applicazioni aziendali. Il mezzo più usato per fornire questa prova è l'”odiata” password, ovvero il segreto, condiviso fra noi e l’applicazione, che ci permette di dimostrare chi siamo. Per questo la sicurezza delle password è così importante. I database di credenziali infatti sono tra i bersagli maggiormente ambiti dalla criminalità informatica.
Per rafforzare questo bastione, da anni si propone di affiancare alle password un secondo fattore di autenticazione. Dai primi pionieristici “token” hardware, con generatori quasi-casuali di numeri, sono state messe a punto molte soluzioni. Quella che forse ha avuto maggiormente successo si basa sull’invio, al telefono dell’utente, di un codice da inserire nel sistema informatico dopo la password. Sicuramente favorito dall’enorme diffusione dei cellulari, questo sistema è purtroppo insicuro, perché si basa sulla tecnologia degli SMS, sviluppata molti anni fa senza specifici requisiti di sicurezza. Non a caso il NIST, uno dei più prestigiosi enti federali americani, che si occupa di standard anche di sicurezza informatica, ha di recente raccomandato il suo abbandono.
Fortunatamente esistono valide alternative, oltre ai già citati token hardware, come i sistemi basati su certificati digitali, oppure su tecniche biometriche. Un buon compromesso fra sicurezza e usabilità viene infine offerto dai vari autenticatori su smartphone, basati su app specializzate. Il consiglio è quindi di adottare sempre un sistema di autenticazione a due (o più) fattori e di abbandonare quelli basati sui vecchi SMS.
A seguito della notizia datata 4 Febbraio 2023 dell’agenzia della cybersicurezza nazionale in merito allo sfruttamento della…
Un’azienda che decide di affidare la propria sicurezza cyber a un Security Operation Center esterno deve conoscere…
Un’azienda che affida la propria protezione cyber a una società specializzata di servizi gestiti deve verificare che…
In Italia il tema della sicurezza sul lavoro continua a fare notizia e il numero di infortuni…