Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

The increasing relevance and pervasiveness of online web services raise the need for strong users' authentication. A widespread technique to improve the security of user authentication with respect to simple text passwords is the so-called "Two-factor authentication" mechanism or 2FA. This mechanism combines at least two different authentication factors among "something you know", "something you have" and "who you are". Although the use of 2FA is mandatory in some sensitive sectors, like banking payment, in most cases, especially for consumer-oriented services, it is a free choice of the service and/or of its users. In order to concretely devise a plan to increase the adoption of strong authentication techniques, it is paramount to have a clear picture of the current status. Hence, in this thesis, we analyze the spread of 2FA in consumer-oriented online services from both the point of view of the service and one of the users. First, we conduct a measurement study to understand how many services propose 2FA as an authentication option. We discover that 2FA is implemented by 25% of the analyzed sites (drawn from the Alexa list of the top 1500 visited domains). Second, we analyze how many users decide to adopt 2FA for their accounts. As a proxy of globally recognized and widely used services, we consider two popular digital identity services: Google Account and Apple's iCloud. Exploit an information leakage in the password recovery process, we measure the adoption rate of 2FA on a sample of users, finding that, on our dataset, 25% of Google Account users and 85% of iCloud users enable 2FA. These results gave us the possibility to see how different strategies used by the services can impact users' adoption. Third, we design and run a survey to understand in a qualitative way which are the adoption barriers to 2FA. Doing so, we discover that the majority of users that do not use 2FA is not aware of its existence and its functioning. Hence, the first pillar that a service needs to implement in order to increase the adoption of 2FA is to put in place an information campaign so to make its aware of 2FA and its advantages. Indeed, as our work shows, 2FA adoption can greatly vary among services according to their enforcement and users' information policies.

Ogni giorno nuovi servizi web vengono pubblicati online e ormai se ne possono trovare di tutti i tipi: blog, social networks, servizi di gestione audio e video, sistemi di cooperazione e molto altro. Questo continuo aumento di servizi web, destinati a tutti i tipi di utente, pone la necessità di utilizzare strumenti di autenticazione degli stessi sempre più sicuri. La tecnica più comunemente utilizzata al giorno d’oggi riguarda l’utilizzo di una password che l’utente deve inserire al momento del login. Diversi studi hanno mostrato i limiti di questa metodologia e da qualche anno si stanno diffondendo metodologie alternative che hanno come obiettivo quello di aumentare il livello di sicurezza globale. Una tecnica sempre più diffusa per migliorare la sicurezza dell'autenticazione è il meccanismo di "Autenticazione a due fattori" o 2FA (In inglese Two-factor authentication). Questa tecnica consiste nel combinare due dei tre fattori di autenticazione riconosciuti: "Qualcosa che conosci", "Qualcosa che hai" e "Chi sei". Nella maggior parte delle implementazioni esistenti il primo dei due fattori rimane l’uso di una password testuale, mentre diverse sono le metodologie utilizzate come secondo fattore. La strategia più comunemente in uso in questo momento nei servizi web riguarda l'utilizzo di uno smartphone come secondo fattore, a questo vengono inviati tramite SMS, o attraverso app dedicate, dei codici temporanei per provare di essere realmente in possesso del dispositivo. Altre soluzioni, ancora non molto diffuse, ma sempre più in crescita, riguardano l'utilizzo di alcuni fattori biometrici come ad esempio l'uso di impronte digitali. Dal momento che l'uso di 2FA è stato recentemente reso obbligatorio in alcuni settori, come nei pagamenti online, il nostro obiettivo è quello di analizzare la diffusione di questa metodologia di autenticazione nei servizi web, dove si tratta di una libera scelta del sito stesso se fornire questa possibilità agli utenti. Abbiamo inoltre voluto analizzare il tasso di adozione tra gli utenti, cercando di capire i modi migliori per aumentarne l'adozione a partire dalla situazione attuale. Per analizzare il problema da tutti i punti di vista abbiamo diviso l'intero studio in tre parti. Nella prima parte, abbiamo quindi studiato il numero di siti, presi dall'elenco dei siti più rilevanti della lista di Alexa, che propongono 2FA ai loro utenti. Per ottenere questo risultato abbiamo implementato due diversi crawler. Il primo analizza i risultati che si ottengono ricercando il nome del sito in analisi corredato da alcune parole chiave che fanno riferimento alla 2FA. Il secondo crawler, invece, entra all'interno del sito stesso alla ricerca di una pagina con dei riferimenti all'abilitazione di Autenticazione a due fattori. Abbiamo scoperto che solo circa il 25% dei siti analizzati implementa questa metodologia. Come seconda indagine, abbiamo eseguito un'analisi del numero di utenti che decidono di adottare l'autenticazione a due fattori sui servizi in cui può essere abilitata facoltativamente dall'utente. Abbiamo implementato un processo, che sfrutta un leak di informazioni durante il processo di recupero della password, per due diversi servizi: l’account Google e il servizio iCloud di Apple. Google raggiunge una percentuale di circa il 25% degli utenti che abilita 2FA, mentre Apple, che per impostazione predefinita abilita questa metodologia ai nuovi utenti, raggiunge circa l'85%. Questi risultati ci hanno dato la possibilità di vedere come diverse strategie utilizzate dai servizi possono influire sul tasso di adozione da parte dei loro utenti. Infine, abbiamo progettato e condotto un sondaggio con lo scopo di comprendere in modo più qualitativo quali siano i limiti che impediscono ad un utente di adottare 2FA e quali invece siano le ragioni che spingono altri utenti ad utilizzare questa metodologia. Abbiamo scoperto che la maggior parte degli utenti che non utilizza questa tecnica, non ne è nemmeno a conoscenza. Questa considerazione, emersa dal sondaggio, ci ha permesso di concludere come un servizio che voglia aumentare l'adozione di 2FA tra i propri utenti debba, in primo luogo, mettere in atto una campagna informativa per rendere i propri utenti più consapevoli di cosa sia 2FA e quali siano i suoi vantaggi. Per quanto riguarda i limiti di questa metodologia di autenticazione, emersi dalle risposte di chi utilizza 2FA, va posta in evidenza la necessità di trovare una soluzione per dare un'alternativa all'utente nel momento in cui lo strumento usato come secondo fattore di autenticazione, nella maggior parte dei casi il proprio smartphone, non sia per qualche motivo disponibile. In conclusione, possiamo affermare che la diffusione di 2FA è ancora molto limitata (circa il 25%) e il tasso di adozione è fortemente dipendente dalle strategie utilizzate dai servizi rispetto agli utenti stessi e può quindi variare notevolmente da servizio a servizio. Infine, molti utenti che non utilizzano 2FA non sono nemmeno consapevoli di questa possibilità e una strategia efficace che i servizi Web dovrebbero implementare è quella di realizzare campagne di informazione per rendere gli utenti più consapevoli dell'argomento.

Two-factor authentication : analysis of the diffusion on web services

DAVIDE, MATTEO
2018/2019

Abstract

The increasing relevance and pervasiveness of online web services raise the need for strong users' authentication. A widespread technique to improve the security of user authentication with respect to simple text passwords is the so-called "Two-factor authentication" mechanism or 2FA. This mechanism combines at least two different authentication factors among "something you know", "something you have" and "who you are". Although the use of 2FA is mandatory in some sensitive sectors, like banking payment, in most cases, especially for consumer-oriented services, it is a free choice of the service and/or of its users. In order to concretely devise a plan to increase the adoption of strong authentication techniques, it is paramount to have a clear picture of the current status. Hence, in this thesis, we analyze the spread of 2FA in consumer-oriented online services from both the point of view of the service and one of the users. First, we conduct a measurement study to understand how many services propose 2FA as an authentication option. We discover that 2FA is implemented by 25% of the analyzed sites (drawn from the Alexa list of the top 1500 visited domains). Second, we analyze how many users decide to adopt 2FA for their accounts. As a proxy of globally recognized and widely used services, we consider two popular digital identity services: Google Account and Apple's iCloud. Exploit an information leakage in the password recovery process, we measure the adoption rate of 2FA on a sample of users, finding that, on our dataset, 25% of Google Account users and 85% of iCloud users enable 2FA. These results gave us the possibility to see how different strategies used by the services can impact users' adoption. Third, we design and run a survey to understand in a qualitative way which are the adoption barriers to 2FA. Doing so, we discover that the majority of users that do not use 2FA is not aware of its existence and its functioning. Hence, the first pillar that a service needs to implement in order to increase the adoption of 2FA is to put in place an information campaign so to make its aware of 2FA and its advantages. Indeed, as our work shows, 2FA adoption can greatly vary among services according to their enforcement and users' information policies.
ZANERO, STEFANO
POGLIANI, MARCELLO
ING - Scuola di Ingegneria Industriale e dell'Informazione
6-giu-2020
2018/2019
Ogni giorno nuovi servizi web vengono pubblicati online e ormai se ne possono trovare di tutti i tipi: blog, social networks, servizi di gestione audio e video, sistemi di cooperazione e molto altro. Questo continuo aumento di servizi web, destinati a tutti i tipi di utente, pone la necessità di utilizzare strumenti di autenticazione degli stessi sempre più sicuri. La tecnica più comunemente utilizzata al giorno d’oggi riguarda l’utilizzo di una password che l’utente deve inserire al momento del login. Diversi studi hanno mostrato i limiti di questa metodologia e da qualche anno si stanno diffondendo metodologie alternative che hanno come obiettivo quello di aumentare il livello di sicurezza globale. Una tecnica sempre più diffusa per migliorare la sicurezza dell'autenticazione è il meccanismo di "Autenticazione a due fattori" o 2FA (In inglese Two-factor authentication). Questa tecnica consiste nel combinare due dei tre fattori di autenticazione riconosciuti: "Qualcosa che conosci", "Qualcosa che hai" e "Chi sei". Nella maggior parte delle implementazioni esistenti il primo dei due fattori rimane l’uso di una password testuale, mentre diverse sono le metodologie utilizzate come secondo fattore. La strategia più comunemente in uso in questo momento nei servizi web riguarda l'utilizzo di uno smartphone come secondo fattore, a questo vengono inviati tramite SMS, o attraverso app dedicate, dei codici temporanei per provare di essere realmente in possesso del dispositivo. Altre soluzioni, ancora non molto diffuse, ma sempre più in crescita, riguardano l'utilizzo di alcuni fattori biometrici come ad esempio l'uso di impronte digitali. Dal momento che l'uso di 2FA è stato recentemente reso obbligatorio in alcuni settori, come nei pagamenti online, il nostro obiettivo è quello di analizzare la diffusione di questa metodologia di autenticazione nei servizi web, dove si tratta di una libera scelta del sito stesso se fornire questa possibilità agli utenti. Abbiamo inoltre voluto analizzare il tasso di adozione tra gli utenti, cercando di capire i modi migliori per aumentarne l'adozione a partire dalla situazione attuale. Per analizzare il problema da tutti i punti di vista abbiamo diviso l'intero studio in tre parti. Nella prima parte, abbiamo quindi studiato il numero di siti, presi dall'elenco dei siti più rilevanti della lista di Alexa, che propongono 2FA ai loro utenti. Per ottenere questo risultato abbiamo implementato due diversi crawler. Il primo analizza i risultati che si ottengono ricercando il nome del sito in analisi corredato da alcune parole chiave che fanno riferimento alla 2FA. Il secondo crawler, invece, entra all'interno del sito stesso alla ricerca di una pagina con dei riferimenti all'abilitazione di Autenticazione a due fattori. Abbiamo scoperto che solo circa il 25% dei siti analizzati implementa questa metodologia. Come seconda indagine, abbiamo eseguito un'analisi del numero di utenti che decidono di adottare l'autenticazione a due fattori sui servizi in cui può essere abilitata facoltativamente dall'utente. Abbiamo implementato un processo, che sfrutta un leak di informazioni durante il processo di recupero della password, per due diversi servizi: l’account Google e il servizio iCloud di Apple. Google raggiunge una percentuale di circa il 25% degli utenti che abilita 2FA, mentre Apple, che per impostazione predefinita abilita questa metodologia ai nuovi utenti, raggiunge circa l'85%. Questi risultati ci hanno dato la possibilità di vedere come diverse strategie utilizzate dai servizi possono influire sul tasso di adozione da parte dei loro utenti. Infine, abbiamo progettato e condotto un sondaggio con lo scopo di comprendere in modo più qualitativo quali siano i limiti che impediscono ad un utente di adottare 2FA e quali invece siano le ragioni che spingono altri utenti ad utilizzare questa metodologia. Abbiamo scoperto che la maggior parte degli utenti che non utilizza questa tecnica, non ne è nemmeno a conoscenza. Questa considerazione, emersa dal sondaggio, ci ha permesso di concludere come un servizio che voglia aumentare l'adozione di 2FA tra i propri utenti debba, in primo luogo, mettere in atto una campagna informativa per rendere i propri utenti più consapevoli di cosa sia 2FA e quali siano i suoi vantaggi. Per quanto riguarda i limiti di questa metodologia di autenticazione, emersi dalle risposte di chi utilizza 2FA, va posta in evidenza la necessità di trovare una soluzione per dare un'alternativa all'utente nel momento in cui lo strumento usato come secondo fattore di autenticazione, nella maggior parte dei casi il proprio smartphone, non sia per qualche motivo disponibile. In conclusione, possiamo affermare che la diffusione di 2FA è ancora molto limitata (circa il 25%) e il tasso di adozione è fortemente dipendente dalle strategie utilizzate dai servizi rispetto agli utenti stessi e può quindi variare notevolmente da servizio a servizio. Infine, molti utenti che non utilizzano 2FA non sono nemmeno consapevoli di questa possibilità e una strategia efficace che i servizi Web dovrebbero implementare è quella di realizzare campagne di informazione per rendere gli utenti più consapevoli dell'argomento.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2020_06_Davide.pdf

non accessibile

Descrizione: Testo della tesi
Dimensione 3.74 MB
Formato Adobe PDF
  Visualizza/Apri
3.74 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/154281