La doppia autenticazione è di certo un modo per aumentare la sicurezza dei tuoi account. Ma se la usi in questo modo non sei affatto al sicuro!
Ormai è una modalità di utilizzo dei servizi online molto diffusa, dato che garantisce un più che discreto livello di sicurezza rispetto a una semplicissima password da mandare a memoria o magari da lasciare memorizzata nel servizio o nel browser.
L’autenticazione a due fattori (2FA), però, potrebbe potenzialmente non essere il sistema migliore per gestire gli ingressi e i riconoscimenti degli utenti, dato il percorso che gli SMS fanno per arrivare a destinazione. Questa storia ci mostra quello che potrebbe andare storto usando gli SMS.
Come funziona l’autenticazione a due fattori? Il sistema è in teoria piuttosto semplice e prevede che l’utente si identifichi utilizzando un codice (OTP – One Time Password) che viene generato solo nel momento in cui deve fare login. Questo codice viene mostrato nel momento in cui è necessario e non è riutilizzabile. La differenza con una password tradizionale è quindi evidente. Come pure è evidente che, potenzialmente almeno, utilizzare i sistemi di autenticazione a due fattori aiuta a mantenere un livello maggiore di sicurezza. Non avendo password da rubare, infatti, i criminali informatici fanno più fatica a bucare gli account.
Ma da dove arrivano per esempio gli SMS con gli OTP? Sono sicuri i canali attraverso cui questi codici vengono recapitati? Una domanda che nessuno forse si era ancora posto, ma che dovremmo invece farci. Una storia che risale all’anno scorso mostra proprio i potenziali limiti di sicurezza dell’autenticazione a due fattori con SMS. Non c’è, e questo vale la pena sottolinearlo, un pericolo imminente per nessuno, ma occorre essere comunque consapevoli di quello che potrebbe nei fatti accadere.
Dai colleghi di Bloomberg arriva infatti un report secondo cui nel corso di giugno del 2023 gli SMS per l’autenticazione a due fattori di moltissimi utenti sono per esempio transitati tutti attraverso una società con connotazioni non proprio chiare. Questo genera una potenziale situazione di rischio, ovviamente, perché se i dati degli utenti vengono gestiti da qualcuno che risulta essere collegato ad attività di spionaggio, è chiaro che c’è potenzialmente la possibilità che anche i codici OTP vengano spiati e sbirciati. Non che qualcuno possa effettivamente fare danni solo vedendo un codice OTP, ma anche il semplice passaggio è una vulnerabilità.
Qual è la soluzione per risolvere un problema di sicurezza di questo tipo? In realtà è qualcosa a cui dovrebbero pensare le società nel momento in cui organizzano i loro sistemi di autenticazione, e dovrebbero essere loro a controllare le società per cui passano i messaggi. Per gli utenti tutto quello che si può fare è rimanere vigili e controllare sempre quello che si fa, soprattutto perché i sistemi di autenticazione a due fattori spesso sono utilizzati per accedere al proprio conto in banca.
Ci sono funzioni nascoste di WhatsApp Business, che permettono di impostare risposte automatiche e mantenere…
Da un'indiscrezione di qualche giorno fa, parrebbe confermato lo sviluppo di un nuovo smarthone di…
Black Friday speciale per tutti gli appassionati di tecnologia, grandi novità in vista da Huawei:…
Stai cercando un monitor in 4k per giocare ad almeno 120hz (e oltre) collegandolo alla…
OpenAI sta testando nuove funzionalità per ChatGPT: il bot di intelligenza artificiale pronto a entrare…
WhatsApp sta continuando a lavorare per introdurre nuove funzioni aggiuntive capaci di alleggerire la vita…