Dal 20 febbraio Tesla cambia le regole di sicurezza degli account

 

Poche ore fa ho ricevuto una mail da Tesla che annuncia (nel mio caso in tedesco) che “per garantire la sicurezza del suo account, Tesla non supporta più i login tramite il nome utente. A partire dal 20 febbraio 203, per accedere al suo account dovrà usare l’indirizzo di mail indicato nella sezione Sicurezza delle impostazioni del suo profilo.”

La mail è autentica, ma mi aspetto che i criminali informatici approfitteranno di questo cambiamento per tentare di rubare gli account Tesla inviando false mail simili a quelle vere e con link che portano a siti che imitano quello di Tesla in modo da convincere gli utenti a immettere le loro credenziali nel sito dei truffatori e quindi rubargliele.

Pertanto, per maggiore sicurezza raccomando di non cliccare sul link presente in eventuali mail di questo tipo, ma di andare manualmente al sito di Tesla (digitando “tesla.com” nel vostro browser) e di controllare di aver preso nota dell’indirizzo di mail che avete indicato nella sezione Sicurezza.

Allarme mediatico per Tesla rubabili da remoto... se il ladro sta a 5 cm dalla “chiave”

The Verge ha pubblicato un articolo nel quale descrive una tecnica di attacco che consentirebbe di aprire e rubare una Tesla in pochi secondi. È una notizia sensazionale, ma leggendo i dettagli della tecnica diventa chiaro che si tratta di una ricerca teorica interessante ma ben poco applicabile nella vita reale.

La tecnica richiede infatti che due ladri lavorino all’unisono usando un’apparecchiatura relativamente sofisticata, e fin qui non c’è nulla di difficile. Ma richiede anche che uno dei due ladri si trovi a meno di cinque centimetri dalla “chiave” del veicolo (che in realtà è una tessera NFC) o dal telefonino del proprietario dell’auto (se il telefonino è dotato di NFC abilitato a comandare l’auto).

L’articolo dice infatti che “attackers can steal a Tesla Model Y as long as they can position themselves within about two inches of the owner’s NFC card or mobile phone with a Tesla virtual key on it”.

Questo è un requisito piuttosto impegnativo e richiede che il ladro sia vicinissimo alla vittima o gli abbia scippato la tessera o il telefonino. Inoltre le Tesla possono essere protette ulteriormente dal furto usando la funzione PIN to Drive, ossia attivando un PIN che è necessario digitare sullo schermo dell’auto per poterla avviare. 

L’articolo nota che altre marche di auto sono vulnerabili allo stesso tipo di attacco ma non sono proteggibili usando un PIN di avvio: “the NFC relay attack is also possible in vehicles made by other manufacturers, but ‘those vehicles have no PIN-to-drive mitigation’”.

Nel caso specifico della mia Tesla, una Model S del 2016, l’attacco fallirebbe miseramente per la semplice ragione che l’auto non è dotata della “tessera” ma usa un keyfob più tradizionale, e il mio telefono non ha l’NFC abilitato all’attivazione dell’auto. La cosa non è casuale. E ovviamente ho abilitato il PIN to Drive.

I proprietari di Tesla più recenti, che hanno la tessera al posto del keyfob, dovrebbero invece fare attenzione a non tenere la loro tessera in posti dove possa essere avvicinata da un ladro. A tutti raccomando l’uso del Pin to Drive.

Tesla ha attivato l’autenticazione a più fattori per proteggere meglio gli account dei proprietari

Stando alle segnalazioni, da poche ore è attiva finalmente l’autenticazione a più fattori per gli account dei proprietari di auto o altri prodotti Tesla. Questo aiuta molto a rendere più sicuri questi account, proteggendoli contro il furto di password.

Se siete utenti Tesla, per attivare l’autenticazione a più fattori potete consultare le apposite istruzioni pubblicate da Tesla e potete guardare questo video (in inglese). In sintesi, procedete come segue.

 

1. Installate un’app di autenticazione

Prima di tutto, dovete installare un’app di autenticazione sul vostro smartphone o tablet. Google Authenticator va benissimo, ed è quella che userò per semplicità in questa descrizione.

Poi assicuratevi di avere a disposizione:

a) qualche minuto di calma e concentrazione 

b) il vostro smartphone, connesso a Internet

c) un computer (o un tablet), connesso a Internet 

 

2. Accedete al vostro account Tesla

Poi entrate nel vostro account Tesla nella maniera consueta, andando sul sito di Tesla (non nella app), cliccando su Account Tesla e immettendo il vostro indirizzo di mail e la vostra password. Per semplicità presumerò che lo facciate usando un computer. 

Dopo che avete cliccato su Login, sul vostro computer compare la schermata del vostro veicolo: cliccate su Account.

Questo vi porta a questa schermata:

Qui cliccate su Autenticazione a più fattori e poi su Gestisci. Sul vostro computer compare questa schermata:

Cliccate su Successivo: vi viene chiesto di nuovo di immettere indirizzo di mail e password e di cliccare di nuovo su Login. Stavolta sullo schermo del computer compare un codice QR, che dovete inquadrare con la fotocamera del vostro smartphone usando l’app di autenticazione (Google Authenticator).

A questo punto nell’app di autenticazione sullo smartphone compare una voce in più, identificata dal nome Tesla, insieme a una sequenza di sei cifre che cambiano periodicamente ogni minuto circa. Questa sequenza di cifre è la vostra seconda password, che è temporanea.

Cliccate su Successivo e immettete rapidamente la sequenza di cifre mostrata sul vostro smartphone in quel momento.

 

3. Fatto!

Da questo punto in poi, per entrare nel vostro account Tesla non basta più conoscerne o indovinarne la password: è necessario digitare anche questa sequenza di cifre continuamente variabili, che è presente soltanto sullo schermo del vostro telefonino.

Anche l’app Tesla sul vostro smartphone chiederà questa sequenza di cifre oltre alla password se fate logout dall’app e poi tentate di rientrare. 

Un aspirante intruso dovrà quindi avere accesso non solo alla vostra password ma anche al vostro smartphone. È per questo che si chiama autenticazione a più fattori: mentre prima a un intruso bastava un solo fattore (la vostra password), ora ne servono due (la vostra password e il vostro telefonino). Questo rende estremamente difficile il furto a distanza degli account Tesla.

 

4. Codici di recupero

L’attivazione dell’autenticazione genera anche dei codici di recupero, che potete usare in emergenza qualora non fosse disponibile il telefonino sul quale avete installato l’app di autenticazione. Questi codici vanno custoditi in modo sicuro, separatamente dal telefonino sul quale avete l’app di autenticazione.

Se avete eseguito correttamente tutta la procedura, ricevete una mail di conferma da Tesla, che dice che “L'autenticazione a più fattori è stata attivata. Dovrai inserire una password dall'app di autenticazione ogni volta che accedi”.

 

5. Dispositivi multipli

Potete abilitare l’app di autenticazione su un massimo di due dispositivi (smartphone o tablet). In questo caso, quando tentate il login nel sito o nell’app Tesla vi viene chiesto quale dispositivo volete usare come fonte della sequenza di cifre.

Sul sito.

Nell’app.

 

Nella configurazione dell’autenticazione a più fattori potete assegnare un nome a ciascuno dei due dispositivi per distinguerli più agevolmente.