Nessuno vuole consegnare il proprio account ad un hacker. Per questo Facebook ha aggiunto una nuova funzionalità che aiuterà a proteggere gli utenti per evitare che i propri account vengano compromessi.
Gli utenti Facebook possono ora utilizzare una chiave di sicurezza per autenticarsi durante il processo di login. Usando una chiave di sicurezza, gli hacker non saranno in grado di entrare nell’account Facebook, anche se fossero in possesso di nome utente e password.
Le chiavi di sicurezza sono una forma di autenticazione a due fattori, un ulteriore livello opzionale di sicurezza che consente di dimostrare la propria identità durante l’accesso.
Nel corso di un tipico processo di autenticazione a due fattori, l’utente inserisce il proprio nome utente e password, quindi il sito a cui sta accedendo risponde inviando un codice di verifica. L’utente inserisce il codice di verifica, dimostrando di essere il proprietario corretto dell’account, e non un hacker che sta tentando l’accesso con una password rubata.
Ma questo metodo ha i suoi difetti: un attaccante determinato può resettare la SIM del telefono dell’utente e intercettare l’SMS di verifica, come è accaduto all’attivista DeRay McKesson la scorsa estate.
Le chiavi di sicurezza risolvono questo problema eliminando la necessità di trasmettere il codice di verifica all’utente. Chiavi come quelli prodotte da Yubico si inseriscono in una porta USB e sono in grado di generare un codice usa e getta al tocco di un dito – e, a differenza degli SMS, questi codici non possono essere catturati senza accesso fisico alla chiave di sicurezza in sé.
Oltre ad essere più sicure, le chiavi di sicurezza rendono il processo di login con l’autenticazione a due fattori più veloce e senza soluzione di continuità, perché non c’è bisogno di attendere che arrivi l’SMS. Per comodità, le chiavi di sicurezza continuano a funzionare anche quando gli SMS non lo fanno, per non perdere l’accesso all’account solo perché non c’è segnale per ricevere il messaggio.
Se usate già una chiave di sicurezza per accedere al vostro account Google o Dropbox, non ve ne servirà una nuova, è possibile utilizzare la stessa chiave su tutti i vostri account.
Brad Hill, ingegnere della sicurezza di Facebook, dice che è stato facile per l’azienda rilasciare questa funzionalità perché era già usata da buona parte del personale di ingegneria per l’accesso ai sistemi interni: è stata semplicemente questione di estendere la funzionalità agli utenti Facebook.
“Non consideriamo l’autenticazione a due fattori come obbligatoria”, spiega Hill. “Vediamo la sicurezza dell’account come la nostra responsabilità a prescindere dalle tecnologie si sceglie di utilizzare. Questa è una buona scelta per chi vuole stare al passo con gli attacchi più avanzati”.
Purtroppo, non c’è un modo valido per integrare le chiavi di sicurezza con la maggior parte dei dispositivi mobili. Accedendo all’account Facebook sul cellulare, la maggior parte degli utenti dovrà ancora passare attraverso il normale processo di autenticazione a due fattori tramite SMS (Facebook consente inoltre agli utenti di generare il codice di verifica attraverso l’app). Gli utenti con dispositivi Android NFC e le ultime versioni di Chrome e Google Authenticator possono utilizzare una chiave NFC per verificare la loro identità sul sito web mobile di Facebook.
La sfida di utilizzare una chiave di sicurezza con un dispositivo mobile è una di quelle che Hill vuole vedere risolte in futuro. Anche se l’accesso è attualmente limitato a determinati utenti Android, Hill dice che le prossime API su piattaforma Android saranno in grado di supportare le chiavi di sicurezza – e altre piattaforme faranno altrettanto.
Pronti per attivare la chiave di sicurezza per accedere a Facebook? Andate sulle Impostazioni di sicurezza del vostro account e fare clic su “Aggiungi chiave” (Nota: funziona solo utilizzando Chrome o Opera). (Fonte)
