Nel mondo della sicurezza informatica, la protezione delle identità digitali è cruciale. FIDO2 rappresenta un passo avanti significativo in questa direzione, offrendo un metodo di autenticazione senza password che si basa su meccanismi crittografici robusti. Tuttavia, una recente ricerca condotta da Dor Segal di Silverfort ha messo in luce come, nonostante le misure di sicurezza avanzate, FIDO2 possa essere vulnerabile agli attacchi Man-in-the-Middle (MitM).
La scoperta di Silverfort
FIDO2 si avvale di un flusso di autenticazione che coinvolge la specifica WebAuthn API per la comunicazione con il Relying Party (RP) e il protocollo CTAP per la comunicazione hardware. Questo processo, gestito dal browser, si articola in due fasi: la registrazione del dispositivo e l’autenticazione.
La ricerca Silverfort ha evidenziato che il punto debole risiede nel fatto che l’implementazione di FIDO2 in molte applicazioni non protegge adeguatamente i token di sessione creati dopo un’autenticazione riuscita. Questo può permettere agli attaccanti di aggirare la protezione FIDO2. Sebbene FIDO2 sia stato progettato per prevenire attacchi di tipo spoofing DNS/DHCP e ARP poisoning, “tuttavia, quando si implementa questo metodo di autenticazione moderno, la maggior parte delle applicazioni non protegge i token di sessione creati dopo che l’autenticazione ha avuto esito positivo.“, spiega Dor Segal, “Ho scoperto che molti provider di identità sono ancora vulnerabili al MITM e ai tipi di attacchi di tipo session hijacking.“
Possibili mitigazioni
Per mitigare questo rischio, è essenziale implementare misure di sicurezza che proteggano i token di sessione e monitorare costantemente la sicurezza delle comunicazioni. La ricerca di Silverfort sottolinea l’importanza di non affidarsi esclusivamente a un singolo metodo di autenticazione, ma di adottare un approccio di sicurezza multistrato che includa anche la protezione dei token di sessione e un monitoraggio continuo delle potenziali vulnerabilità.