L’autenticazione a due fattori tramite SMS non dovrebbe mai essere utilizzata perché non è sicura come potrebbe sembrare: ecco perché.
Negli ultimi anni per elevare il livello di sicurezza online è stata implementata l’autenticazione a due fattori. Per accedere a home banking, social ma anche a tanti altri siti web, adesso non basta più semplicemente digitare i famosi nome utente e password, ma c’è bisogno di un’ulteriore step di sicurezza che in genere prevede o l’invio di un codice all’email con cui si è registrati l’account o l’invio del codice tramite SMS sul numero di cellulare registrato. Ed è proprio l’autenticazione tramite SMS ad essere fortemente sconsigliata: ecco il perché.
Perché non bisogna utilizzare SMS per ricevere codici di autenticazione
Gli SMS sono tutt’altro che infallibili perché viaggiano attraverso reti non crittografate e possono essere vulnerabili all’intercettazione. Gli hacker potrebbero intercettare il contenuto degli SMS senza dover accedere al telefono fisico. Non si tratta di un rischio solo teorico perché il furto di dati sensibili che viaggiano attraverso gli SMS è ben documentato. Altro modo per rubare il contenuto di un SMS e quindi anche i codici univoci è tramite l’installazione di applicazioni contenenti spyware in grado di intercettare il contenuto dei messaggi e inoltrarlo agli hacker.
Occhio poi anche allo scambio SIM, una tecnica sempre più utilizzata dai truffatori con cui riescono a far trasferire il numero di telefono su una carta SIM nuova e in questo modo riuscire ad intercettare qualsiasi SMS ricevuto.
Possono farlo dopo aver rubato i dati personali come indirizzo e codice fiscale. Contattano l’operatore telefonico chiedendo di trasferire il numero di telefono su una nuova SIM di un nuovo gestore. A passaggio effettuato l’utente si ritrova impossibilitato ad utilizzare il proprio numero dalla SIM installata sul cellulare. E nel frattempo della denuncia e del disconoscimento del passaggio, i truffatori possono usare gli SMS ricevuti per entrare nel sito della banca, i social o altri siti web.
Ma un altro motivo per cui l’autenticazione tramite SMS è sconsigliata è perché i messaggi viaggiano di pari passo con la rete telefonica. Se vi trovate in una zona non raggiunta dal segnale, non riuscirete a ricevere l’SMS, a prescindere da una connessione internet o meno.
Qual è la soluzione?
La soluzione non è disattivare l’autenticazione a due fattori perché ad oggi è fondamentale per proteggere i propri account in un mondo dove i soli nome utente e password non sono più sicuri. La soluzione è optare per delle applicazioni come Google Authenticator o Microsoft Authenticator. Si tratta di app scaricabili gratuitamente sul proprio smartphone che generano codici univoci dalla durata di pochi minuti e che si generano direttamente sul cellulare senza essere trasmessi e quindi senza pericolo di essere intercettati.
Un altro motivo per cui queste app sono comode è la funzionalità offline. Poiché i codici vengono generati direttamente sul dispositivo, non è necessaria una connessione mobile per utilizzarli. Che tu sia in un’area remota senza servizio o semplicemente in un ambiente chiuso con scarsa ricezione, puoi accedere ai tuoi codici finché hai il tuo dispositivo.
Settare tali app è molto semplice. Dopo averla configurata, in genere scansionando un codice QR fornito dal sito web durante il processo di configurazione 2FA, aprire semplicemente l’app per accedere a un codice ogni volta che accedi. In alternativa alle app di autenticazione troviamo l’autenticazione tramite impronta digitale o scansione facciale. Una tecnologia ancora più sopraffina e affidabile.
© RIPRODUZIONE RISERVATA
