I rischi della Two-Step Verification

L'autenticazione in due passaggi è davvero sicura? Dipende...

La Two-Step Verification attraverso l'uso di SMS potrebbe essere rischiosa e lasciare libero accesso agli hackers
L'autenticazione in due passaggi è davvero sicura? Dipende... FASTWEB S.p.A.

Questo mese Google ha iniziato ad invitare gli utenti ad attivare la Two-Step Verification per gli account, ovvero la verifica in due passaggi attraverso l'invio di un codice via SMS., che però arriverebbe mediante l'app dell'azienda, anziché con un messaggio sul cellulare.

Il motivo è semplice: pare che le nuove notifiche via app siano notevolmente più sicure rispetto al vecchio sistema degli SMS, sono più rapidi e rendono più semplice il processo di verifica dell'account.

Cos'è esattamente la Two-Step Verification?

La Two-Step Verification (o 2SV o 2FA) aggiunge un livello in più nella sicurezza degli account online, ed è ormnai utilizzato da tutte le aziende più importanti, da Amazon ad Apple, da Google a Facebook e Instagram. Invece di inserire soltanto la password per accedere all'account, è necessario immettere un primo codice di verifica e conseguentemente un secondo inviato tramite SMS o attraverso un'app di autenticazione. Un hacker, quindi, per rubare informazioni dai vostri account dovrà conoscerne prima la password e poi entrare in possesso del vostro telefonino.

Quindi perché evitare gli SMS?

Per il semplice fatto che la ricezione di codici 2SV tramite SMS risulti meno sicura dell'utilizzo di un'app di autenticazione. Molti hackers sono stati in grado di crackare le SIM, portando numeri di telefono su altri dispositivi. Una volta che il vostro numero di telefono è stato reindirizzato ad un altro cellulare non ci sarà più bisogno di rubarvi il telefono, per accedere ai codici 2SV.
Inoltre, sincronizzando i messaggi di testo con il PC o con il tablet, l'hacker potrebbe accedere ai codici passando anche da un dispositivo simile senza dover neppure reindirizzare la vostra SIM.

In aggiunta, ci sarebbero tutte le debolezze del sistema di telecomunicazioni mobile. In quello che viene chiamato "attacco SS7" un hacker può essere in grado di "spiarvi" utilizzando il vostro stesso smartphone, ascoltare le chiamate, intercettare gli SMS, vedere la posizione del telefono.

Cosa usare, allora?

Un'app di autenticazione come Google Authenticator, Microsoft Authenticator o Authy. Queste app hanno il vantaggio di non aver bisogno di affidarsi al vostro operatore di servizi telefonici. I codici restano all'interno dell'app e anche se un hacker riuscisse a spostare il vostro numero di cellulare su un nuovo telefono non ne caverebbe un ragno dal buco. I codici, inoltre, scadono rapidamente, di solito dopo circa 30 secondi.

Oltre ad essere più sicure di un SMS, le app di autenticazione sono molto più rapide. È sufficiente toccare un pulsante per verificare la propria identità, anziché dover immettere manualmente il codice.

Cos'è Google Prompt?

Prompt è un servizio di Google che consente di ricevere codici senza utilizzare SMS o app di autenticazione terze. È incluso all'interno di Google Now per Android, e sull'applicazione Google Search per iOS.

La 2SV è davvero così necessaria?

In teoria sì. Oltre a creare password forti e ad utilizzare password sempre diverse per ciascuno degli account, impostare una 2SV è la mossa migliore per proteggere i propri dati personali. La Two-Step Verification è sempre un'ottima idea: piuttosto che non averla affatto va bene anche quella via SMS, che rende comunque la vita degli hackers un po' più difficile.

Ma la 2SV è anche un fastidio

No, questa non è una domanda. Sebbene abbiamo spiegato di quanto sia utile per proteggere i propri account, è anche vero che la Two-Step Verification obbliga gli utenti a passaggi più lunghi e macchinosi per accedere ai propri profili. Ci sono più probabilità di stufarsi di tutti questi passaggi che non di essere attaccati da un hacker, probabilmente. Certo, anche essere hackerati, può essere fastidioso? Ma dipende sempre da quanto questi individui possano trovare fruttuose le informazioni nei vostri account.

1 agosto 2017

Fonte: cnet.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail