RSA SecureID

RSA SecurID, a volte chiamato SecurID, è una tecnologia di autenticazione a due fattori con crittografia a chiave pubblica utilizzata per proteggere le risorse di rete.

Sviluppato da RSA Data Security, SecureID è costruito attorno alla difficoltà di fattorizzare numeri molto grandi. A causa di questo design, l'algoritmo utilizza la fattorizzazione in numeri primi come metodo infallibile per fermare gli attacchi brute force. Risolvere la crittografia richiede una quantità enorme di tempo e potenza di elaborazione, scoraggiando così gli attacchi diretti al sistema di sicurezza. È il metodo di crittografia standard per dati importanti, specialmente quando le informazioni vengono inviate su internet.

Questo sistema di autenticazione si basa su due protezioni principali: una password o un pin noto dall'utente (qualcosa di noto) e (tipicamente) una chiave USB, smart card o fob, altrimenti chiamati token hardware (qualcosa che hai con te). Questi due punti di autenticazione, o poi usati in combinazione con il Software di Gestione Autenticazione di RSA, che verifica le richieste di autenticazione.

Quando un utente accede a una risorsa protetta come un database di monitoraggio finanziario, o un'interfaccia back-end di una banca, viene richiesto il suo codice di accesso. Il codice di accesso è basato sia sul PIN fornito dal sistema SecurID al momento della configurazione sia sul codice generato per quell'accesso dal token di autenticazione dell'utente. In questo esempio, l'utente clicca sul suo dispositivo RSA SecurID, che genera un codice specifico per la sessione. Poi, entrambi questi codici vengono ricevuti dall'RSA Authentication Agent e tradotti nel software RSA Authentication Manager, che poi verifica e approva i codici. Il sistema RSA SecurID calcola quale numero il token dovrebbe mostrare in quel preciso momento, lo verifica rispetto a quanto inserito dall'utente e prende la decisione di consentire o negare l'accesso.

A differenza di molti altri servizi di sicurezza, SecureID utilizza l'autenticazione hardware. Questo fornisce un livello di protezione dagli attacchi informatici basati su software. Di seguito è riportato un confronto tra SecureID e altri servizi di sicurezza comuni.

 

Sebbene i token RSA SecurID possano proteggere dagli attacchi di ripetizione della password generando password uniche per ogni sessione, non forniscono alcuna funzionalità per proteggere dagli attacchi man in the middle.

• Se l'attaccante riesce a bloccare l'utente autorizzato dall'autenticarsi al server fino a quando il prossimo codice token sarà valido, egli sarà in grado di accedere al server. Il server di autenticazione SecurID cerca di prevenire il furto di password e l'accesso simultaneo rifiutando entrambe le richieste di autenticazione, se due credenziali valide vengono presentate entro un determinato intervallo di tempo. In questo tipo di attacco, la sicurezza può essere assistita con un meccanismo di autenticazione aggiuntivo, come SSL.
• Se l'attaccante rimuove all'utente la possibilità di autenticare il proprio token, il server SecurID assumerà che sia l'utente ad autenticarsi effettivamente e quindi consentirà l'autenticazione dell'attaccante.
• Gli attacchi di ingegneria sociale tramite phishing possono anche essere utilizzati per aiutare a violare la sicurezza di RSA SecurID. Il phishing è un esempio di tecniche di social engineering utilizzate per ingannare gli utenti e sfrutta la scarsa usabilità delle tecnologie di sicurezza web. Di solito viene effettuato tramite spoofing e-mail o messaggistica istantanea, e spesso indirizza gli utenti a inserire i dettagli in un sito web falso che appare quasi identico a quello legittimo.
• Nel caso in cui l'attaccante riesca a ottenere le credenziali inserite dall'utente in testo semplice, può essere rapidamente utilizzato da un hacker come utente legittimo prima che il token scada (di solito entro un minuto).
• I token fisici possono essere rubati (o acquisiti tramite ingegneria sociale) dagli utenti finali. Il piccolo fattore di forma rende il furto di token fisici molto più praticabile rispetto alla scansione di laptop/desktop.

La vulnerabilità più semplice con qualsiasi e tutti i contenitori di password è perdere il dispositivo chiave speciale o lo smartphone attivato con funzionalità integrate. Questa vulnerabilità non può essere risolta con alcun dispositivo contenitore di token singolo durante il periodo di blocco rigido dell'accesso disponibile utilizzando la chiave rubata o persa. Un utente di solito aspetterà più di un giorno prima di segnalare il dispositivo come mancante, dando all'attaccante molto tempo per violare il sistema non protetto. Ciò potrebbe verificarsi solo, tuttavia, se anche l'ID utente e il PIN degli utenti sono noti.

Nell'era client-server, la conformità era la ragione principale per cui le organizzazioni adottavano soluzioni di sicurezza come l'autenticazione a due fattori, poiché dovevano rispettare le normative per proteggere i dati finanziari, sanitari e dei titolari di carte dei clienti, ecc. Ma al giorno d'oggi, la sicurezza e la gestione del rischio sono le ragioni principali per cui le aziende vogliono implementare l'autenticazione a due fattori. Le violazioni dei dati sono reali e influenzano milioni di utenti, e hanno conseguenze reali su larga scala. Mentre solo poche applicazioni dovevano essere protette, l'attuale ambiente di sicurezza richiede l'accesso a decine o centinaia di applicazioni da proteggere.

Una soluzione a due fattori deve essere scalabile in modo da poter essere distribuita su tutte le app e i dipendenti con informazioni sensibili distribuite orizzontalmente tra gli utenti con tutti i livelli di potere e accesso. Con l'aumento del numero di applicazioni e utenti, e con l'espansione della criminalità informatica, saranno necessari tempi di implementazione più brevi per garantire la sicurezza.

Nel 2011, gli attaccanti hanno violato RSA e rubato i semi interni utilizzati da RSA per verificare i suoi dispositivi hardware, e hanno usato le informazioni per attaccare Lockheed Martin, un cliente RSA, insieme ad altri appaltatori della difesa non nominati. Questi semi interni comprendono una chiave segreta codificata nel token stesso, e sono l'equivalente digitale di una combinazione di lucchetto. Questa vulnerabilità ha messo in mostra le vulnerabilità di qualsiasi sistema hardware ad alto costo.