Stai ancora usando la doppia autenticazione? Cosa rischi davvero

La doppia autenticazione è di certo un modo per aumentare la sicurezza dei tuoi account. Ma se la usi in questo modo non sei affatto al sicuro!

Ormai è una modalità di utilizzo dei servizi online molto diffusa, dato che garantisce un più che discreto livello di sicurezza rispetto a una semplicissima password da mandare a memoria o magari da lasciare memorizzata nel servizio o nel browser.

L’autenticazione a due fattori (2FA), però, potrebbe potenzialmente non essere il sistema migliore per gestire gli ingressi e i riconoscimenti degli utenti, dato il percorso che gli SMS fanno per arrivare a destinazione. Questa storia ci mostra quello che potrebbe andare storto usando gli SMS.

Autenticazione a due fattori con SMS: quando non è più sicura?

Come funziona l’autenticazione a due fattori? Il sistema è in teoria piuttosto semplice e prevede che l’utente si identifichi utilizzando un codice (OTP – One Time Password) che viene generato solo nel momento in cui deve fare login. Questo codice viene mostrato nel momento in cui è necessario e non è riutilizzabile. La differenza con una password tradizionale è quindi evidente. Come pure è evidente che, potenzialmente almeno, utilizzare i sistemi di autenticazione a due fattori aiuta a mantenere un livello maggiore di sicurezza. Non avendo password da rubare, infatti, i criminali informatici fanno più fatica a bucare gli account.

Ma da dove arrivano per esempio gli SMS con gli OTP? Sono sicuri i canali attraverso cui questi codici vengono recapitati? Una domanda che nessuno forse si era ancora posto, ma che dovremmo invece farci. Una storia che risale all’anno scorso mostra proprio i potenziali limiti di sicurezza dell’autenticazione a due fattori con SMS. Non c’è, e questo vale la pena sottolinearlo, un pericolo imminente per nessuno, ma occorre essere comunque consapevoli di quello che potrebbe nei fatti accadere.

Dai colleghi di Bloomberg arriva infatti un report secondo cui nel corso di giugno del 2023 gli SMS per l’autenticazione a due fattori di moltissimi utenti sono per esempio transitati tutti attraverso una società con connotazioni non proprio chiare. Questo genera una potenziale situazione di rischio, ovviamente, perché se i dati degli utenti vengono gestiti da qualcuno che risulta essere collegato ad attività di spionaggio, è chiaro che c’è potenzialmente la possibilità che anche i codici OTP vengano spiati e sbirciati. Non che qualcuno possa effettivamente fare danni solo vedendo un codice OTP, ma anche il semplice passaggio è una vulnerabilità.

Qual è la soluzione per risolvere un problema di sicurezza di questo tipo? In realtà è qualcosa a cui dovrebbero pensare le società nel momento in cui organizzano i loro sistemi di autenticazione, e dovrebbero essere loro a controllare le società per cui passano i messaggi. Per gli utenti tutto quello che si può fare è rimanere vigili e controllare sempre quello che si fa, soprattutto perché i sistemi di autenticazione a due fattori spesso sono utilizzati per accedere al proprio conto in banca.