Ultime notizie

A cosa serve l'U2F e quali sono i vantaggi?

Una chiave di sicurezza U2F è importante per proteggere il processo di autenticazione. Queste chiavi di sicurezza U2F proteggono il vostro account da eventuali acquisizioni da parte di malintenzionati, compresi gli attacchi di pishing. Questa guida vi aiuta a capire cos'è una chiave di sicurezza U2F e perché noi di Tuta ne consigliamo l'uso. Questo vi aiuterà a non perdere mai l'accesso alla vostra identità online!

What is U2F used for and what are the benefits?

In qualità di esperti di sicurezza, noi di Tuta consigliamo di proteggere i propri account con una cosiddetta chiave di sicurezza U2F, come la chiave di sicurezza FIDO U2F. Le chiavi di sicurezza U2F funzionano come segue: Quando lasciate la vostra casa o la vostra auto, molto probabilmente le chiudete con una chiave. Allo stesso modo, avete bisogno di una chiave per bloccare i vostri account online da accessi non autorizzati. Dopo tutto, il vostro account online ha lo stesso valore della vostra casa o della vostra auto, giusto? Quindi, ha bisogno di altrettanta protezione. L'opzione più sicura per bloccare le credenziali del vostro account online è quella di bloccarle con una chiave di sicurezza U2F! In questa guida vi spieghiamo perché U2F è importante e come funziona una chiave di sicurezza U2F.

Cos’è esattamente l’U2F e a cosa serve?

tl;dr: U2F è importante perché è l’opzione più sicura per proteggere le credenziali del vostro account. Pertanto, attivatelo ogni volta che è possibile.

In effetti, U2F è così importante che ogni servizio di posta elettronica dovrebbe supportarlo.

Il motivo è semplice: Il vostro account di posta elettronica è la porta della vostra identità online. Pensateci: servizi come Amazon, X, PayPal (solo per citarne alcuni) e altri sono tutti collegati al vostro account e-mail. Anche se utilizzate parole d’ordine forti per questi servizi, esse possono essere facilmente resettate se un aggressore ostile è riuscito ad accedere alla vostra casella di posta elettronica.

È da questo che le chiavi di sicurezza (FIDO) U2F vi proteggono. Se attivate sul vostro account di posta elettronica, ad esempio in Tuta, sarà quasi impossibile per i malintenzionati impossessarsi della vostra casella di posta.

Che cos’è U2F (Universal 2nd Factor)? - Definizione

U2F è uno standard di autenticazione aperto che utilizza una sola chiave per più servizi. Semplifica ed eleva la sicurezza fornita dalla 2FA (autenticazione a due fattori) in quanto non sono necessari driver o software client.

L’autenticazione universale a due fattori si riferisce a un dispositivo separato che contiene una chiave segreta aggiuntiva necessaria per accedere agli account digitali. Invece di inserire un determinato codice (OTP), è sufficiente collegare un dispositivo come secondo fattore.

**Altreletture: 4 modi per proteggere la vostra identità digitale oggi.

Richiedi la nostra Offerta Compleanno:

Chiavi di sicurezza U2F vs. autenticazione 2FA

Le chiavi U2F non sono la stessa cosa della 2FA: la 2FA è un’autenticazione a due fattori che include tutti i metodi per il secondo fattore (ad esempio SMS, TOTP, U2F e altri). Le chiavi di sicurezza U2F offrono solo un’opzione per impostare l’autenticazione a due fattori, anche se la più sicura!

Quali sono i vantaggi dell’utilizzo di una chiave di sicurezza U2F?

  1. Autenticazione rapida: Riduzione del tempo di autenticazione
  2. Forte sicurezza: Nessuna acquisizione di account quando viene utilizzata completamente
  3. Scelte multiple: Accesso a quasi 1.000 applicazioni e servizi

Quali sono gli svantaggi?

Le soluzioni U2F presentano uno svantaggio significativo rispetto a TOTP (che utilizza un segreto condiviso): Per U2F non esiste un’opzione di backup dei codici di recupero dei segreti condivisi.

Se una chiave di sicurezza hardware viene persa, diventa impossibile accedere ai servizi e alle applicazioni che sono stati originariamente protetti con questa chiave di sicurezza hardware. Pertanto, la maggior parte dei servizi offre un modo per reimpostare le credenziali di accesso per riottenere l’accesso.

Ad esempio, Tuta offre un codice di recupero che deve essere inserito insieme alla password corretta per resettare (in questo caso: rimuovere) una chiave di sicurezza U2F smarrita. Inoltre, in Tuta è possibile registrare più chiavi di sicurezza U2F. Se una di esse viene smarrita, gli utenti possono comunque accedere con una delle altre chiavi di sicurezza U2F registrate.

L’U2F è davvero necessario per tutti?

In generale, noi di Tuta consigliamo a tutti di proteggere le proprie credenziali di accesso a Tuta con una chiave di sicurezza U2F.

Zwei-Faktor-Authentifizierung in Tutanota. Zwei-Faktor-Authentifizierung in Tutanota.

Noi di Tuta consigliamo a tutti di utilizzare un secondo fattore come Yubikey.

Autenticazione U2F

U2F - l’autenticazione a secondo fattore con una chiave di sicurezza hardware - è il modo più sicuro per proteggere i vostri account online da attacchi malevoli come il furto di credenziali. È anche più sicuro dell’autenticazione di secondo fattore tramite OTP o TOTP, le cosiddette One-Time Password o Time-based One-Time Password. Si tratta di codici generati che sono validi solo per un breve periodo di tempo. Pertanto, noi di Tuta consigliamo vivamente di attivare una chiave hardware per proteggere la vostra casella di posta elettronica crittografata.

Richiedi la nostra Offerta Compleanno:

In che modo le chiavi di sicurezza U2F proteggono dal phishing?

Le chiavi di sicurezza U2F proteggono le vostre credenziali di accesso e assicurano che nessuno possa impossessarsi dei vostri account, nemmeno dopo un attacco di phishing andato a buon fine.

Nel mondo digitalizzato di oggi, dove tutto avviene online, le e-mail di phishing stanno diventando sempre più sofisticate. Ciò significa che aumenta anche il rischio di cadere in questi attacchi. Il mittente dell’e-mail di phishing di solito cerca di farvi cliccare su un link in cui dovreste inserire la vostra password. In questo caso, l’aggressore può facilmente rubare la password e impossessarsi dell’account.

Tuttavia, se sul vostro account è stato attivato un secondo fattore come U2F, la password sarà inutile per l’aggressore e il vostro account sarà al sicuro.

Inoltre, un login utente abilitato a U2F è vincolato all’origine; ciò significa che solo il sito reale può autenticarsi con la chiave (secondo fattore). L’autenticazione fallirà su qualsiasi sito di phishing falso, anche se l’utente è stato indotto a pensare che fosse reale.

Perché si dovrebbe attivare l’autenticazione di secondo fattore (2FA)?

  1. Una chiave di sicurezza U2F aumenta la protezione dei vostri account (come quelli di posta elettronica, drive o social media).
  2. La chiave di sicurezza U2F è la versione più sicura dell’autenticazione a due fattori.
  3. Un dispositivo U2F crea una chiave crittografica per sbloccare l’account.
  4. Gli attacchi di phishing diventano quasi impossibili con una chiave di sicurezza U2F.

Come funzionano le chiavi di sicurezza U2F?

Per l’utente, le chiavi di sicurezza U2F sono molto semplici. È possibile attivare la stessa chiave di sicurezza U2F su tutti i propri account, come Tuta, Amazon o X. Quando si effettua il login, si inseriscono il nome utente e la password, quindi è sufficiente inserire la chiave hardware di tipo USB nel dispositivo e toccarla per completare il processo di autenticazione.

Dal punto di vista tecnico, il processo è molto più complesso. La Fido Alliance spiega il processo come segue:

“Il dispositivo e il protocollo U2F devono garantire la privacy e la sicurezza dell’utente. Al centro del protocollo, il dispositivo U2F ha una capacità (idealmente, incorporata in un elemento sicuro) che conia una coppia di chiavi pubbliche/private specifiche per l’origine. Il dispositivo U2F fornisce la chiave pubblica e un Key Handle al servizio online o al sito web dell’origine durante la fase di registrazione dell’utente”.

”Successivamente, quando l’utente esegue un’autenticazione, il servizio online o il sito web di origine invia nuovamente il Key Handle al dispositivo U2F tramite il browser. Il dispositivo U2F utilizza il Key Handle per identificare la chiave privata dell’utente e crea una firma che viene inviata all’origine per verificare la presenza del dispositivo U2F. Pertanto, il Key Handle è semplicemente un identificatore di una particolare chiave sul dispositivo U2F”.

”La coppia di chiavi creata dal dispositivo U2F durante la registrazione è specifica dell’origine. Durante la registrazione, il browser invia al dispositivo U2F un hash dell’origine (combinazione di protocollo, hostname e porta). Il dispositivo U2F restituisce una chiave pubblica e un Key Handle. Molto importante, il dispositivo U2F codifica l’origine richiedente nel Key Handle”.

”In seguito, quando l’utente tenta di autenticarsi, il server invia il Key Handle dell’utente al browser. Il browser invia questo Key Handle e l’hash dell’origine che richiede l’autenticazione. Il dispositivo U2F si assicura di aver emesso questo Key Handle per quel particolare hash dell’origine prima di eseguire qualsiasi operazione di firma. In caso di mancata corrispondenza, non viene restituita alcuna firma. Questo controllo dell’origine garantisce che le chiavi pubbliche e i Key Handle rilasciati da un dispositivo U2F a un particolare servizio online o sito web non possano essere utilizzati da un altro servizio online o sito web (ad esempio, un sito con un nome diverso su un certificato SSL valido). Si tratta di una proprietà fondamentale per la privacy: supponendo che il browser funzioni come dovrebbe, un sito può verificare l’identità con il dispositivo U2F di un utente solo con una chiave che è stata rilasciata a quel particolare sito da quel particolare dispositivo U2F. Se questo controllo di origine non fosse presente, una chiave pubblica e un Key Handle emessi da un dispositivo U2F potrebbero essere utilizzati come un ‘supercookie’ che consente a più siti collusi di verificare con forza e correlare l’identità di un particolare utente”.

”L’utente è in grado di utilizzare lo stesso dispositivo su più siti web, fungendo così da portachiavi web fisico dell’utente con più chiavi (virtuali) per vari siti fornite da un unico dispositivo fisico. Utilizzando lo standard aperto U2F, qualsiasi origine sarà in grado di utilizzare qualsiasi browser (o sistema operativo) che abbia il supporto U2F per parlare con qualsiasi dispositivo conforme a U2F presentato dall’utente per consentire un’autenticazione forte”.

Storia

Universal second Factor (U2F) è uno standard aperto che rafforza e semplifica l’autenticazione a due fattori (2FA) utilizzando dispositivi specializzati Universal Serial Bus (USB) o near-field communication (NFC). È seguito dal progetto FIDO2, che comprende lo standard W3C Web Authentication (WebAuthn) e il Client to Authenticator Protocol 2 (CTAP2) di FIDO Alliance.

Sebbene inizialmente sia stato sviluppato da Google e Yubico, con il contributo di NXP Semiconductors, lo standard è ora gestito dalla sola FIDO Alliance.

Un elenco di tutti i servizi che supportano le chiavi di sicurezza U2F è disponibile qui.

Obiettivo: autenticazione forte e privacy per il web

L’ecosistema U2F è progettato per fornire una forte autenticazione a due fattori (2FA) per gli utenti sul web, preservando al contempo la privacy dell’utente.

L’utente porta con sé un “dispositivo U2F” come secondo fattore di accesso ai propri account online. In questo modo, questi account possono essere tenuti al sicuro, soprattutto dagli attacchi di phishing.

Le chiavi di sicurezza hardware U2F sono un grande risultato, in quanto garantiscono la sicurezza delle persone e dei loro account online sul web.

Confronto tra le diverse opzioni per l’autenticazione a due fattori (2FA)

Dispositivo di sicurezza: Chiavi di sicurezza U2F

  • L’opzione più sicura
  • La chiave privata è memorizzata localmente sul dispositivo U2F
  • Garantisce la protezione contro gli attacchi man-in-the-middle (MITM) e il phishing
  • Richiede un dispositivo hardware
  • Non è richiesto l’inserimento manuale

App Authenticator: TOTP

  • Un’app genera codici validi solo per un breve periodo di tempo (Google Authenticator, Authy, ecc.)
  • Richiede l’inserimento manuale a ogni accesso
  • Non richiede un dispositivo hardware
  • Non protegge il login da dispositivo mobile perché l’app sul dispositivo mobile genera il secondo fattore

App Authenticator: HOTP

  • Un’app genera codici che sono validi finché non vengono utilizzati
  • Meno comunemente utilizzato al giorno d’oggi, la maggior parte delle app di autenticazione (Google Authenticatorm Authy, ecc.) utilizza TOTP per impostazione predefinita.
  • I codici devono essere memorizzati in modo sicuro
  • Richiede l’inserimento manuale a ogni accesso
  • Non richiede un dispositivo hardware
  • Non protegge il login da dispositivo mobile perché l’app sul dispositivo mobile genera il secondo fattore

Codice SMS

  • Il codice viene inviato via SMS
  • Richiede l’inserimento manuale a ogni login
  • È l’opzione meno sicura, poiché gli SMS possono essere facilmente intercettati.
  • Non richiede un dispositivo hardware
  • Non protegge l’accesso al dispositivo mobile perché l’SMS sul dispositivo mobile contiene il secondo fattore
Illustrazione di un telefono con il logo di Tuta sullo schermo, accanto al telefono c'è uno scudo ingrandito con un segno di spunta, simbolo dell’alto livello di sicurezza garantito dalla crittografia di Tuta.