LE NEWS SU ETHEREUM IN ITALIA

Menu
Home » Wallet » [Guida] Utilizzare il Ledger per l’autenticazione a due fattori (U2F)

[Guida] Utilizzare il Ledger per l’autenticazione a due fattori (U2F)

27 Marzo 2019 13:00
Tempo di lettura: 6 min.
27 Marzo 2019 13:00
Giuseppe Brogna

Ledger Nano S - The secure hardware wallet

L’utilizzo dei dispositivi Ledger per la conservazione e gestione delle criptovalute, è un attività comune tra i trader e gli appassionati di criptovalute.

Nonostante l’utilizzo diffuso come strumento di hardware wallet, pare che tutti abbiano dimenticato che il Ledger Nano S reca con sé un’ulteriore feature molto utile, che non a nulla a che vedere con le criptovalute.

È possibile servirsi del Ledger come secondo fattore di autenticazione, secondo lo standard FIDO U2F.

In altri termini, anche se un giorno deciderai di non aver più a che fare con le criptovalute, non gettare via il tuo dispositivo. Potresti appunto sfruttarlo su tutti i siti e servizi web che supportano il suddetto protocollo di sicurezza.

Autenticazione a due fattori

L’autenticazione a due fattori è un processo di sicurezza in cui l’utente, per verificare se stesso, fornisce appunto due diversi fattori di autenticazione, per proteggere al meglio sia le sue credenziali che le risorse a cui può accedere.

L’autenticazione a due fattori fornisce un livello più elevato di sicurezza rispetto ai metodi di accesso che dipendono dall’autenticazione a fattore singolo, in cui l’utente in genere fornisce solo una password o un pin.

I metodi di autenticazione a due fattori richiedono che l’utente fornisca non solo qualcosa che “conosce” (la password), ma anche qualcosa che “possiede”, come un token di sicurezza, uno smartphone, un fattore biometrico, ecc.

L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza al processo di autenticazione, rendendo più difficile per gli hacker accedere ai dispositivi o agli account online di una persona. Non è infatti sufficiente conoscere la password della vittima per superare il controllo di autenticazione.

Molti utenti di criptovalute utilizzano il sistema di autenticazione a due fattori sulle piattaforme di scambio, aka exchange. Il metodo di autenticazione più utilizzato è dato dall’app Google Authenticator, che però viene sfruttata attraverso l’algoritmo TOTP.

Le app “Authenticator” sostituiscono la necessità di ottenere un codice di verifica tramite sms, chiamata vocale o e-mail.

Per accedere a un sito web o a un servizio basato su web, che supporta Google Authenticator o altre app simili, l’utente digita il nome utente e la password: un fattore di conoscenza.

All’utente viene poi richiesto di immettere un numero di sei cifre. Invece di dover aspettare qualche secondo per ricevere un messaggio di testo, è l’app Authenticator che genera il numero.

Questi numeri cambiano ogni trenta secondi e sono diversi per ogni accesso. Inserendo il numero corretto, l’utente completa la procedura di verifica e dimostra il possesso del dispositivo corretto: un fattore di possesso.

La popolarità dell’appena descritta tecnologia one-time password, deriva dalla sua semplicità. Oltre a una credenziale statica (nome utente/password), l’utente aggiunge un altro fattore di autenticazione, che è generato dinamicamente.

La tecnologia OTP è compatibile con tutte le principali piattaforme (desktop, laptop, mobile) e con i sistemi legacy, rendendola una scelta molto popolare tra i protocolli di secondo fattore.

Nonostante la sua utilità e semplicità, la tecnologia OTP non è immune agli attacchi di phishing e man-in-the-middle.

L’hacker crea un sito web fasullo, progettato per indurre i visitatori a inviare le proprie credenziali. Quando un utente cade nella trappola e inserisce le proprie informazioni (nome utente, password e one-time password), queste vengono immediatamente intercettate dall’hacker e utilizzate per accedere all’account della vittima.

La crescente sofisticazione degli attacchi contro gli schemi OTP, è stato un fattore motivante nello sviluppo del protocollo FIDO U2F. Quando un utente registra un dispositivo U2F con un servizio online, viene generata una coppia di chiavi pubblica/privata.

Dopo la registrazione, quando l’utente tenta di accedere, il fornitore del servizio invia una richiesta al client. Il client compila le informazioni necessarie, che sono firmate dal dispositivo U2F (utilizzando la chiave privata) e inviate al server (al fornitore del servizo).

Lo schema di risposta in tempo reale del protocollo U2F, è in grado di fronteggiare le vulnerabilità dell’OTP, come il phishing e varie forme di attacchi man-in-the-middle. Poiché il server legittimo emette la richiesta, se un sito fake o un man-in-the-middle manipola il flusso, il server rileverà un’anomalia nella risposta e negherà l’accesso.

I dispositivi Ledger possono essere utilizzato come ulteriore fattore di autenticazione, proprio secondo il protocollo FIDO U2F.

U2F con il Ledger

FIDO U2F è un metodo di autenticazione a due fattori sviluppato dalla FIDO Alliance, che è supportato sui dispositivi Ledger Nano S e Ledger Blue.

Per impostarlo, è necessario un Ledger Nano S o Ledger Blue con l’ultima versione del firmware. Deve essere anche installato il Ledger Live.

Di seguito le istruzioni passo passo:

  1. apri il “Manager” nel Ledger Live;
  2. connetti e sblocca il tuo dispositivo Ledger;
  3. se richiesto, consenti il “Manager” sul tuo dispositivo premendo il tasto destro;
  4. trova “FIDO U2F” nel catalogo delle app;
  5. fai clic sul pulsante “Installa” dell’applicazione;
  6. apri l’app “FIDO U2F” dalla dashboard del dispositivo.

Per attivare l’autenticazione a due fattori su un sito o un servizio web che supporta FIDO U2F, vai nelle impostazioni di sicurezza del sito o del servizio e segui le istruzioni per registrare il dispositivo.

In ambito di exchange di criptovalute, ad esempio, Kraken non supporta ancora questo protocollo di autenticazione, mentre su Bitfinex è possibile attivarlo. Per sapere se è possibile utilizzarlo su un particolare exchange, è sufficiente controllare nella sezione sicurezza delle impostazioni.

In ogni caso, al di fuori del settore criptovalute, è possibile sfruttare la tecnologia U2F su molti altri servizi online: ad es. Facebook, Google, GitHub, Dropbox e molti altri.

Note di sicurezza

Assicurati sempre di impostare un metodo di accesso alternativo. Puoi registrare una seconda chiave, attraverso un altro dispositivo U2F, oppure un diverso fattore di autenticazione, come il Google Authenticator.

L’impostazione di un secondo metodo di accesso è essenziale, poiché la reinstallazione – per qualunque motivo – dell’app FIDO U2F richiede la riconfigurazione per ciascun servizio.

Dopo un aggiornamento del firmware del Ledger, tutte le app devono essere reinstallate. Ciò comporta il reset del counter, quindi l’impossibilità di accedere al servizio utilizzando l’app FIDO U2F del dispositivo, prima di riconfigurare il servizio.

L’app FIDO U2F sul dispositivo Ledger mantiene un contatore interno, che cambia ogni volta che si utilizza U2F per accedere a un servizio di terze parti.

Pertanto, nei i casi in cui aggiorni il firmware del Ledger o per quelli in cui comunque reinstalli l’app FIDO U2F, adotta i seguenti accorgimenti:

  1. utilizza uno strumento alternativo – come un app Authenticator – per loggarti ai servizi a cui desideri accedere;
  2. una volta effettuato l’accesso, vai nelle impostazioni di sicurezza dei servizi su cui utilizzi FIDO U2F. Quindi, rimuovi il metodo di autenticazione FIDO U2F impostato con il dispositivo Ledger;
  3. registra nuovamente il tuo dispositivo come metodo di autenticazione.

***

Spero che questa guida ti sia stata utile per capire come utilizzare il Ledger per l’autenticazione a due fattori (U2F) . Se hai dubbi, o suggerimenti su come migliorare la guida, oppure per altre guide, non esitare a scriverci.

Ledger Nano S - The secure hardware wallet

3 VIDEO GRATUITI DALLA DM CRIPTO












SPUNTA il checkbox qui a lato PER OTTENERE i video gratuiti.

In più, ti invieremo successivamente delle email contenenti il frutto delle nostre ricerche più avanzate su ethereum e criptovalute e dettagli sui nostri servizi legati alle criptovalute. Tratteremo i tuoi dati personali con la massima cura e in conformità della normativa privacy GDPR UE2016/679. Se lo vorrai potrai disiscriverti in qualsiasi momento e con un semplice click. La tua preparazione sugli investimenti in ether e criptovalute sta per prendere il volo.

Condividi
  • 53
    Shares

Articoli che potrebbero interessarti

16 Agosto 2017

Guida (a prova di idiota!) al Ledger Nano S

Contenuto dell'articolo1 Cos’è il Ledger Nano S?2 Come creare un portafoglio da...

Leggi tutto

12 Febbraio 2019

[Guida] Come negare di avere criptovalute sul Ledger Nano S in caso di estorsione

Prendiamo un caso tipico: con una pistola puntata alla tempia ti...

Leggi tutto

CATEGORIE:

Wallet


Giuseppe Brogna

Giuseppe è laureato in giurisprudenza, da sempre appassionato di tecnologia e studioso di tematiche economiche. Stimolato dal potenziale impatto economico e sociale, si approccia al mondo delle DLT; matura particolari interessi nella nuova finanza hitech legata alle tecnologie del ledger distribuito.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Condividi questo articolo

Invia questo articolo ad un amico