Potenziamento della protezione degli account dei clienti

Da gennaio 2017, il team Sicurezza di OVH effettua dei test di nuove metodologie  per rendere più sicuri gli account dei clienti e individuare i tentativi di manomissione. Dopo un anno di ricerche e di sviluppo abbiamo cominciato a rilasciare gradualmente un nuovo algoritmo. Vogliamo offrirvi alcuni elementi su ciò che abbiamo messo a punto.

Nel momento in cui ci si connette allo Spazio Cliente OVH, è probabile che si riceva una e-mail contenente un codice di accesso per confermare la tua richiesta di connessione. Congratulazioni, sei tra i fortunati ad aver potuto sperimentare il nostro nuovo algoritmo che permette di prevenire le manomissioni degli account. Stiamo lavorando per una maggiore messa in sicurezza degli account dei nostri clienti, in aggiunta alle misure già attuate.  

Per quale motivo abbiamo messo a punto questo nuovo algoritmo?

Possono verificarsi situazioni delicate come nel caso in cui una persona con  cattive intenzioni riesce a prendere il controllo dello spazio personale di uno dei nostri clienti. Questi ultimi potrebbero vedere minacciata la propria attività, e  i nostri team di Customer Advocate devono riuscire a individuare il reale client del pirata informatico. Per fortuna, si tratta di eventi eccezionali. In un contesto in cui le fughe di dati delle grandi aziende si moltiplicano e svelano le password degli account dei clienti e dove il 60% della popolazione ammette ancora di utilizzare la stessa password per molti accessi, abbiamo voluto prevenire eventuali minacce e potenziare la sicurezza delle nostre soluzioni.  

Che cosa significa questo in concreto?

Quando ci si connette allo Spazio Cliente, il nostro algoritmo cercherà di valutare se questa operazione viene effettuata seguendo un’abitudine, ad esempio l’utilizzo dello stesso browser utilizzato. Se è così, non ci sarà alcun cambiamento. Tuttavia, se il nostro algoritmo ritiene che la tua connessione sia insolita o che non effettui l’accesso da molto tempo, ti verrà chiesto di inserire un codice inviato via e-mail: si attiverà un meccanismo di doppia autentificazione affinché tu possa provare di essere realmente il proprietario dell’account.

Ogni qual volta il nostro algoritmo considererà anomalo un tentativo di connessione, ti verrà richiesta la doppia autenticazione.
Ogni qual volta il nostro algoritmo considererà anomalo un tentativo di connessione, ti verrà richiesta la doppia autenticazione. 

Il sistema invierà una mail  con un codice segreto che  permetterà di confermare la richiesta di connessione. Questo codice avrà una validità limitata e sarà strettamente riservato, in quanto costituisce l’unico elemento in grado di provare l’identità del titolare dell’account. Questa e-mail rappresenta anche un alert, poiché se chi la riceve non ha effettuato l’accesso allo Spazio Cliente, lo avrà fatto una terza persona che è venuta a conoscenza della  password. Suggeriamo di  cambiarla appena possibile.

Quando la connessione è considerata anomala dal nostro algoritmo, il cliente viene avvisato via e-mail per verificare che la connessione sia appena iniziata.  

Funzionamento del nuovo algoritmo

Abbiamo notato che i clienti che hanno attivato la doppia autenticazione sul proprio account non avevano mai avuto problemi di manomissione. Per  garantire un buon livello di sicurezza è necessario tenere presenti  quattro elementi: «ciò che conosco» (es. una password), «ciò che possiedo» (es. uno smartphone), «ciò che faccio» (es. le abitudini), «ciò che sono» (es. la biometria).

Anche se riesce a violare  password («ciò che conosco»), grazie alla doppia autenticazione, il pirata informatico dovrà poi provare la propria identità durante un secondo step, con l’aiuto di un elemento che solo il legittimo titolare dell’account possiede («ciò che possiedo»).

Partendo da questa premessa abbiamo lavorato per proporre un livello di sicurezza equivalente per gli account sui quali la doppia autenticazione non è attiva, rispettando la decisione del titolare dell’account. L’idea è stata quella di proporre una doppia autenticazione solo nel momento in cui nutriamo dubbi sulla legittimità della richiesta di connessione.

La sfida è quindi quella di definire se sia legittima o meno. Dopo aver fatto alcune statistiche, abbiamo potuto osservare che i nostri clienti seguivano delle abitudini nel collegarsi al proprio account personale, per esempio collegandosi sempre dallo stesso computer. La soluzione era, quindi, già delineata: individuare le irregolarità nei tentativi di connessione. Ciò che abbiamo implementato grazie a un minimo utilizzo di machine learning, concepito e messo a punto dal nostro team Sicurezza.  

Un algoritmo non potrà mai sostituire il controllo da parte degli utenti.

La sicurezza è una questione che riguarda tutti. Anche se mettiamo in atto diversi meccanismi di protezione, è altresì indispensabile prendere le giuste precauzioni per assicurarsi che il proprio account sia al sicuro. Come ad esempio utilizzare un software per salvare le password (Keepass, LastPass, 1 password ad esempio) che contiene le  tue password e di utilizzare una password diversa per ogni piattaforma.

Ma la protezione migliore contro il furto rimane l’attivazione della doppia autenticazione. La sua efficacia non deve essere dimostrata ed è di semplice basta  collegarsi al  proprio account, accedere alla rubrica «Il mio account» e successivamente a «Sicurezza».

Questo algoritmo, che arriva in aggiunta a U2F che proponiamo da ottobre 2017, non è altro che l’inizio di una serie di operazioni di  più ampia portata che mira a proporre una maggiore flessibilità e sicurezza di accesso allo Spazio Cliente. Il mio collega Thomas Soete potrà fornire maggiori dettagli in un prossimo articolo!

Per saperne di più sul fenomeno delle data leaks ti invito a leggere l’articolo di Troy Hunt, un australiano impegnato nella protezione dei dati personali nonché fondatore del sito «Have I Been Pwned»: https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/