Alfonso Maruccia

Google, USB per l'autenticazione utente

Mountain View prova a semplificare l'autenticazione a doppio fattore implementando il supporto per la chiavetta USB "universale", un sistema basato su standard industriali che in futuro si farà ancora più facile e immateriale

Roma - Google aggiunge un nuovo metodo di autenticazione a doppio fattore per l'uso dei propri servizi Web tramite Chrome, un browser che ora può essere "sbloccato" (quando si tratta di accedere ai suddetti servizi) con un dongle USB dal costo moderato e dalla sicurezza augurabilmente garantita.

La U2F Security Key (dove U2F sta per Universal 2nd Factor) necessaria a utilizzare il nuovo metodo di autenticazione è basata sulle specifiche imposte dall'iniziativa nota come FIDO (Fast Identity Online) Alliance, un'organizzazione che può contare sui grandi nomi dell'industria (Microsoft, Samsung, Visa, PayPal e altri oltre a Google stessa) e che vuole standardizzare il meccanismo di autenticazione a doppio fattore rendendolo più accessibile e pratico possibile.

Se con i sistemi di autenticazione a doppio fattore tradizionali è necessario ricevere un codice attraverso una app mobile, via posta elettronica o SMS sul cellulare, quindi, una chiavetta USB U2F dovrebbe garantire un'esperienza di accesso più diretta che richiede, prima del suo utilizzo, la sola "registrazione" del dongle sull'account Google dell'utente.
Lo standard U2F è supportato da importanti protagonisti del mondo IT e ora Google è il primo di questi grossi nomi a implementare nella pratica il sistema, una prima volta a cui in teoria dovrebbero seguire altre iniziative simili, e che in un futuro non definito dovrebbe portare i metodi di autenticazione FIDO oltre l'USB, fino a inglobare le comunicazioni wireless Bluetooth o NFC.

Per il momento, ammette Google, il dongle U2F non rappresenta ancora una soluzione di sicurezza ideale in ogni scenario di utilizzo: adoperare la chiavetta potrebbe ad esempio risultare problematico - o persino impossibile - sui gadget mobile, dove le porte USB a piene dimensioni sono estremamente rare.

Alfonso Maruccia
Notizie collegate
  • TecnologiaChrome 38 e il conto salato dei bugfixL'ultima versione stabile del browser di Google si segnala soprattutto per la gran quantità di fix a problemi di sicurezza, bug per cui la corporation ha pagato un bel po' di dollari a chi li ha scoperti
37 Commenti alla Notizia Google, USB per l'autenticazione utente
Ordina
  • Ci ridanno una versione più recente della smartcard col relativo lettore!

    Quell'hardware schifoso diffuso nelle P.A. per creare ancora altro lock-in verso certi sistemi operativi, software ed operatori...
    iRoby
    6863
  • In realtà l'articolo è molto confuso.
    A tratti sembra che parli di un dispositivo di tipo "OTP" tipo VASCO RSA .. ma in quel caso la interfaccia USB non ha il minimo senso (si tratta di dispositivi autonomi "connection less").
    Oppure di una via di mezzo che si avvicina alla tua ipotesi.
    In ogni caso perniciosissima.
    per 2 motivi
    se si tratta di dispositivi "connection less" stile OTP (dello stesso tipo di quelli che quasi certamente usano la tua e la mia banca) esistono degli standard consolidati senza inventare l'acqua calda (hotp totp OCRA).
    Se non si tratta di quello (dato che in quel caso la interfaccia USB non c'entra un tubo) allora il rischio è pure peggiore.
    non+autenticato
  • Comunque ricordo che Google autentica già tramite hardware, senza SMS ma attraverso l'apposita APP per il cellulare che si trova sul play.

    Questo ovviamente vale solo per chi usa il cellulare android in modo convenzionale, cioè con lo stesso account.
    non+autenticato
  • No la app e disponibile per Android per iOS e pure in solo java.
    e la puoi settare sul "realm" che ti pare (account).
    Supporta sia totp che hotp.
    Esattamente come i "token" che ti da la banca.
    C'è però un "dettagliuzzo" non c'è (e non serve) alcun tipo di connessione "USB" ne per la app ne per i token bancari.
    Forse questo dovrebbe farti venire qualche legittimo dubbio di avere capito di cosa parla l'articolo?
    non+autenticato
  • Molti (chissà poi perché) pensano che i meccanismi "hardware" (non metto per caso le virgolette) siano una buona idea per implementare la "sicurezza".
    Non è invece una buona idea per il semplice motivo che in realtà l'hardware di questo tipo è costituito nella totalità dei casi da chip che sono in buona sostanza dei processori più o meno specializzati nella aritmetica che occorre per implementare le operazioni crittografiche.
    Si tratta quindi di processori a tutti gli effetti e come tali hanno bisogno di software per fare qualunque cosa, come è ovvio e inevitabile che sia.
    La presenza inevitabile di software (che lo si chiami firmware e stia in una EEPROM o su una flash poco importa dato che il supporto è comunque riscrivibile sia pure attraverso "operazioni speciali") rende non risolto il problema della qualità del software stesso.
    E non risolto il problema di verificare (vuoi attraverso i sorgenti vuoi con altri mezzi) che non ci siano vulnerabilità e/o "implementazioni evil" che compromettono il tutto.
    Anzi non solo il problema è "non risolto" ma al limite solo rediretto ma introduce altri elementi da verificare.
    Notabilmente da verificare ci sono pure i drivers.
    L'unico reale vantaggio (se le istruzioni del processore "specializzato sono ben implementate e il processore è veloce) sta (ma non è scontato sui devices a basso costo) è la velocità e il disimpegno della CPU da operazioni gravose.
    Va però considerato che una non piccola percentuale di CPU moderne dispongono già di unità crittografiche integrate che le rendono spesso più veloci di questi dispositivi specie di quelli a basso costo.
    Francamente questo interesse ( a Google c'è certo chi queste cose le sa benissimo) per i meccanismi "hardware crittografici" è sospetto.
    E non dico altro.
    Gente state all'occhio quando vi dicono che la sicurezza intrinseca di questo "hardware" è per il solo fatto di essere "hardware" (con parecchie virgolette) maggiore di un meccanismo software ben verificato e ben verificabile.
    Nella migliore delle ipotesi vi stanno vendendo fumo nella peggiore... Beh c'è pure bisogno di dirlo?
    non+autenticato
  • - Scritto da: clonazzo

    >
    > Nella migliore delle ipotesi vi stanno vendendo
    > fumo nella peggiore... Beh c'è pure bisogno di
    > dirlo?

    te lo dico io. Si chiama strong authentication, che prevede di utilizzare almeno 2 metodi di autenticazione. Tra i tre metodi previsti, guarda caso, uno è "quello che hai". Per cui qualcosa di hardware. Che sia una chiavetta apposita o uno smartpone poco importa.
    non+autenticato
  • - Scritto da: mcmcmcmcmc
    > - Scritto da: clonazzo
    >
    > >
    > > Nella migliore delle ipotesi vi stanno
    > vendendo
    > > fumo nella peggiore... Beh c'è pure bisogno
    > di
    > > dirlo?
    >
    > te lo dico io. Si chiama strong authentication,
    > che prevede di utilizzare almeno 2 metodi di
    > autenticazione. Tra i tre metodi previsti, guarda
    > caso, uno è "quello che hai". Per cui qualcosa di
    > hardware. Che sia una chiavetta apposita o uno
    > smartpone poco
    > importa.
    Con una applicazione scaricata da tuttogratis.ru magari?
    non+autenticato
  • - Scritto da: 2014

    > Con una applicazione scaricata da tuttogratis.ru
    > magari?

    per quel che mi riguarda e che mi interessa puoi scaricare da tuttogratis.ru quel che ti pare.
    non+autenticato
  • - Scritto da: mcmcmcmcmc
    > - Scritto da: 2014
    >
    > > Con una applicazione scaricata da
    > tuttogratis.ru
    > > magari?
    >
    > per quel che mi riguarda e che mi interessa puoi
    > scaricare da tuttogratis.ru quel che ti
    > pare.
    Adesso si che sono al sicuroA bocca aperta
    non+autenticato
  • Vedi che non hai capito un tubo?
    A cosa serve l'interfaccia USA se è come tu dici?
    A parte poi il fatto che il mio era un discorso generale e non riferito in particolare a questo device.
    non+autenticato
  • >
    > E non risolto il problema di verificare (vuoi
    > attraverso i sorgenti vuoi con altri mezzi) che
    > non ci siano vulnerabilità e/o "implementazioni
    > evil" che compromettono il tutto.
    >
    > Anzi non solo il problema è "non risolto" ma al
    > limite solo rediretto ma introduce altri elementi
    > da verificare.
    >
    > Notabilmente da verificare ci sono pure i
    > drivers.
    >

    Probabilmente non hai la minima idea di come funzionano i meccanismi di autenticazione hardware.

    I drivers, e l'open source non c'entrano proprio nulla.

    Qui hai una chiave su OTPROM che non si può riscrivere e che è impostata dalla fabbrica e un processore.

    È un meccanismo come le SmartCards, la tua chiave col suo processore decripta il token inviato da remoto e lo rispedisce indietro, se non è quella giusta non hai l'accesso, che c'entrano i drivers o il codice ?
    non+autenticato
  • - Scritto da: Luppolo
    > >
    > > E non risolto il problema di verificare (vuoi
    > > attraverso i sorgenti vuoi con altri mezzi) che
    > > non ci siano vulnerabilità e/o "implementazioni
    > > evil" che compromettono il tutto.
    > >
    > > Anzi non solo il problema è "non risolto" ma al
    > > limite solo rediretto ma introduce altri
    > elementi
    > > da verificare.
    > >
    > > Notabilmente da verificare ci sono pure i
    > > drivers.
    > >
    >
    > Probabilmente non hai la minima idea di come
    > funzionano i meccanismi di autenticazione
    > hardware.
    >
    > I drivers, e l'open source non c'entrano proprio
    > nulla.
    >
    > Qui hai una chiave su OTPROM che non si può
    > riscrivere e che è impostata dalla fabbrica e un
    > processore.
    >
    > È un meccanismo come le SmartCards, la tua chiave
    > col suo processore decripta il token inviato da
    > remoto e lo rispedisce indietro, se non è quella
    > giusta non hai l'accesso, che c'entrano i drivers
    > o il codice
    > ?
    Quindi cose come questa:
    http://srlabs.de/rooting-sim-cards/
    non possono succedere, giusto?
    non+autenticato
  • > Quindi cose come questa:
    > http://srlabs.de/rooting-sim-cards/
    > non possono succedere, giusto?


    E come ce lo metti il malware su una rom preprogrammata, ce lo scrivi coi raggi X ? Devi avere una bella mira.

    Poi tu compari elle SIM che ricevono un SMS di aggiornamento criptato in DES56 crakkato in bruteforce, con una smartcard per l'accesso condizionato con crittografia asimmetrica.

    Queste hanno il processore interno che accede ad una chiave interna e non leggibile dall'esterno ed esegue la criptazione/decriptazione dei token.

    Che poi tutto possa succedere e che si scopra qualche bug alla lunga può anche essere ma quello proposto è fin troppo per la sicurezza di un sistema di accesso a due passaggi.

    In ogni i drivers e il software menzionati c'entrano come i cavoli a merenda, visto che si limitano a fare da passthrough e non intervengono nel processo di codifica/decodifica.
    non+autenticato
  • - Scritto da: Luppolo
    > > Quindi cose come questa:
    > > http://srlabs.de/rooting-sim-cards/
    > > non possono succedere, giusto?
    >
    >
    > E come ce lo metti il malware su una rom
    > preprogrammata, ce lo scrivi coi raggi X ? Devi
    > avere una bella
    > mira.

    Se è una ROM, ed è un grosso SE

    >
    > Poi tu compari elle SIM che ricevono un SMS di
    > aggiornamento criptato in DES56 crakkato in
    > bruteforce, con una smartcard per l'accesso
    > condizionato con crittografia
    > asimmetrica.
    >
    > Queste hanno il processore interno che accede ad
    > una chiave interna e non leggibile dall'esterno
    > ed esegue la criptazione/decriptazione dei
    > token.
    >
    > Che poi tutto possa succedere e che si scopra
    > qualche bug alla lunga può anche essere ma quello
    > proposto è fin troppo per la sicurezza di un
    > sistema di accesso a due
    > passaggi.

    Se da l'acceso a tutti i tuoi risparmi, meglio essere sicuri, no?

    >
    > In ogni i drivers e il software menzionati
    > c'entrano come i cavoli a merenda, visto che si
    > limitano a fare da passthrough e non intervengono
    > nel processo di
    > codifica/decodifica.

    In teoria no
    non+autenticato
  • >
    > Se da l'acceso a tutti i tuoi risparmi, meglio
    > essere sicuri,
    > no?

    Beh ... attualmente l'accesso a tutti i tuoi risparmi o lo fai tramite un paio di password (anzi una password e un PIN) oppure con quegli affarini con la RSA a che producono una rolling password al secondo che non so quanto siano più sicure di una smartcard+pin.

    Ciò che più importa è che se ti fanno un bonifico, ti arriva l'SMS e tu lo blocchi, ma fino ad ora io non ho mai conosciuto nessuno a cui è successo qualcosa di simile, mentre le password delle email le fregano continuamente.
    non+autenticato
  • Significa quindi che le pagine web avranno accesso diretto all'hardware?
    non+autenticato
  • - Scritto da: _____
    > Significa quindi che le pagine web avranno
    > accesso diretto
    > all'hardware?

    Significa che come al solito in Chrome, Google ci mette i suoi plugin che si collegano ai suoi servizi.
    non+autenticato
  • Non sta circolando in queste settimane della "falla" progettuale dei controller usb con firmware riprogrammabile, per introdurre spyware e quant'altro? Quindi con questa chiavetta di google che speranze ci sono?
    non+autenticato
  • - Scritto da: Mr.Bil
    > Non sta circolando in queste settimane della
    > "falla" progettuale dei controller usb con
    > firmware riprogrammabile, per introdurre spyware
    > e quant'altro? Quindi con questa chiavetta di
    > google che speranze ci
    > sono?

    la chiave non è di Google. Puoi prenderene un "FIDO Ready™ products" (solo U2F, mi pare). https://fidoalliance.org/adoption/fido-ready

    Se non ti fidi del produttore della chiave non usasrla.
    non+autenticato
  • Esattamente! Ed è una falla gravissima, perchè un firmware cattivo risulta totalmente invisibile dall'host e resiste a riformattazioni ecc.
    non+autenticato
  • - Scritto da: Mr.Bil
    > Non sta circolando in queste settimane della
    > "falla" progettuale dei controller usb con
    > firmware riprogrammabile, per introdurre spyware
    > e quant'altro? Quindi con questa chiavetta di
    > google che speranze ci
    > sono?

    in questi giorni sta circolando anche il driver FDTI che bricca gli arduiniA bocca aperta
    non+autenticato
  • - Scritto da: visionario
    > - Scritto da: Mr.Bil
    > > Non sta circolando in queste settimane della
    > > "falla" progettuale dei controller usb con
    > > firmware riprogrammabile, per introdurre spyware
    > > e quant'altro? Quindi con questa chiavetta di
    > > google che speranze ci sono?

    > in questi giorni sta circolando anche il driver
    > FDTI che bricca gli arduini
    >A bocca aperta

    Ma va ?
    Racconta racconta...
    non+autenticato
  • - Scritto da: Passante
    > - Scritto da: visionario
    > > - Scritto da: Mr.Bil
    > > > Non sta circolando in queste settimane
    > della
    > > > "falla" progettuale dei controller usb
    > con
    > > > firmware riprogrammabile, per
    > introdurre
    > spyware
    > > > e quant'altro? Quindi con questa
    > chiavetta
    > di
    > > > google che speranze ci sono?
    >
    > > in questi giorni sta circolando anche il
    > driver
    > > FDTI che bricca gli arduini
    > >A bocca aperta
    >
    > Ma va ?
    > Racconta racconta...

    http://arstechnica.com/information-technology/2014.../
    non+autenticato
  • - Scritto da: visionario
    > - Scritto da: Passante

    > > Ma va ?
    > > Racconta racconta...
    >
    > http://arstechnica.com/information-technology/2014

    Grazie
    non+autenticato
  • - Scritto da: visionario
    > - Scritto da: Mr.Bil
    > > Non sta circolando in queste settimane della
    > > "falla" progettuale dei controller usb con
    > > firmware riprogrammabile, per introdurre spyware
    > > e quant'altro? Quindi con questa chiavetta di
    > > google che speranze ci
    > > sono?
    >
    > in questi giorni sta circolando anche il driver
    > FDTI che bricca gli arduini
    >A bocca aperta
    Veramente blocca solo i cloni dei chip fdti
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: visionario
    > > - Scritto da: Mr.Bil
    > > > Non sta circolando in queste settimane
    > della
    > > > "falla" progettuale dei controller usb
    > con
    > > > firmware riprogrammabile, per
    > introdurre
    > spyware
    > > > e quant'altro? Quindi con questa
    > chiavetta
    > di
    > > > google che speranze ci
    > > > sono?
    > >
    > > in questi giorni sta circolando anche il
    > driver
    > > FDTI che bricca gli arduini
    > >A bocca aperta
    > Veramente blocca solo i cloni dei chip fdti

    veramente blocca i cloni degli arduini che usano i cloni dei chip ftdi
    non+autenticato
  • - Scritto da: visionario
    > - Scritto da: 2014
    > > - Scritto da: visionario
    > > > - Scritto da: Mr.Bil
    > > > > Non sta circolando in queste settimane
    > > della
    > > > > "falla" progettuale dei controller usb
    > > con
    > > > > firmware riprogrammabile, per
    > > introdurre
    > > spyware
    > > > > e quant'altro? Quindi con questa
    > > chiavetta
    > > di
    > > > > google che speranze ci
    > > > > sono?
    > > >
    > > > in questi giorni sta circolando anche il
    > > driver
    > > > FDTI che bricca gli arduini
    > > >A bocca aperta
    > > Veramente blocca solo i cloni dei chip fdti
    >
    > veramente blocca i cloni degli arduini che usano
    > i cloni dei chip
    > ftdi
    blocca e' una parola molto gentile. modifica di proposito i valori nella eeprom col preciso intento di screware l'hardware. Tra l'altro suppongono che sia precisamente tarato sul FT232RL, tant'e' che potrebbe screware altri chip legittimi ftdi...
    ok che l'hw non e' veramente morto (diciamo softbricked) ma e' un azione criminale.
    non+autenticato
  • - Scritto da: bubba
    > blocca e' una parola molto gentile. modifica di
    > proposito i valori nella eeprom col preciso
    > intento di screware l'hardware. Tra l'altro
    > suppongono che sia precisamente tarato sul
    > FT232RL, tant'e' che potrebbe screware altri chip
    > legittimi
    > ftdi...
    > ok che l'hw non e' veramente morto (diciamo
    > softbricked) ma e' un azione
    > criminale.

    sono d'accordo, e dire che parliamo di un convertitore seriale usb, mica di rocket scienceSorride
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)