Perché non si dovrebbe usare SMS per l'autenticazione a due fattori (e cosa usare invece)
Gli esperti di sicurezza consigliano di utilizzare l'autenticazione a due fattori per proteggere i propri account online laddove possibile. Molti servizi predefiniti per la verifica SMS, l'invio di codici tramite messaggio di testo al telefono quando si tenta di accedere. Ma i messaggi SMS hanno un sacco di problemi di sicurezza, e sono l'opzione meno sicura per l'autenticazione a due fattori.
Per prima cosa: SMS è ancora meglio dell'autenticazione a due fattori a tutti!
Mentre presenteremo il caso contro SMS qui, è importante innanzitutto chiarire una cosa: usare SMS è meglio che non usare l'autenticazione a due fattori.
Quando non usi l'autenticazione a due fattori, qualcuno ha solo bisogno della tua password per accedere al tuo account. Quando si utilizza l'autenticazione a due fattori con SMS, è necessario che entrambi acquisiscano la password e accedano ai messaggi di testo per accedere al proprio account. SMS è molto più sicuro di niente.
Se SMS è la tua unica opzione, per favore usa SMS. Tuttavia, se desideri sapere perché gli esperti di sicurezza consigliano di evitare gli SMS e cosa invece consigliamo, continua a leggere.
Scambia SIM Permetti agli aggressori di rubare il tuo numero di telefono
Ecco come funziona la verifica tramite SMS: quando tenti di accedere, il servizio invia un messaggio di testo al numero di cellulare che gli hai fornito in precedenza. Ottieni il codice sul telefono e inseriscilo per accedere. Tale codice è valido solo per un singolo utilizzo.
Sembra abbastanza sicuro. Dopotutto, solo tu hai il tuo numero di telefono e qualcuno deve avere il tuo telefono per vedere il codice giusto? Sfortunatamente no.
Se qualcuno conosce il tuo numero di telefono e può accedere a informazioni personali come le ultime quattro cifre del tuo numero di previdenza sociale, sfortunatamente questo è facile da trovare grazie alle molte società e agenzie governative che hanno trapelato i dati dei clienti: possono contattare il tuo telefono compagnia e sposta il tuo numero di telefono su un nuovo telefono. Questo è noto come "scambio SIM", ed è lo stesso processo che si esegue quando si acquista un nuovo dispositivo e si sposta il proprio numero di telefono su di esso. La persona dice di essere te, fornisce i dati personali e la tua compagnia telefonica imposta il telefono con il tuo numero di telefono. Otterranno i codici dei messaggi SMS inviati al tuo numero di telefono sul loro telefono.
Abbiamo visto resoconti di questo accadendo nel Regno Unito, dove gli aggressori hanno rubato il numero di telefono di una vittima e l'hanno usato per accedere al conto bancario della vittima. Lo Stato di New York ha anche avvertito di questa truffa.
Al suo centro, questo è un attacco di ingegneria sociale che si basa sull'ingannare la tua compagnia di telefonia mobile. Ma la tua compagnia di telefoni cellulari non dovrebbe essere in grado di fornire a qualcuno l'accesso ai tuoi codici di sicurezza, in primo luogo!
I messaggi SMS possono essere intercettati in molti modi
È anche possibile curiosare su messaggi SMS. Dissidenti politici e giornalisti in paesi repressivi vorranno stare attenti, dato che il governo potrebbe dirottare i messaggi SMS mentre vengono inviati attraverso la rete telefonica. Ciò è già avvenuto in Iran, dove gli hacker iraniani hanno riferito di aver compromesso un numero di account di messaggistica di Telegram intercettando i messaggi SMS che fornivano l'accesso a tali account.
Gli attaccanti hanno anche abusato dei problemi in SS7, il sistema di connessione utilizzato per il roaming, per intercettare i messaggi SMS sulla rete e instradarli altrove. Ci sono molti altri modi in cui i messaggi possono essere intercettati, anche attraverso l'uso di finte torri di telefoni cellulari. I messaggi SMS non sono stati progettati per la sicurezza e non dovrebbero essere utilizzati per questo.
In altre parole, un aggressore sofisticato con un po 'di informazioni personali potrebbe dirottare il tuo numero di telefono per accedere ai tuoi account online e quindi utilizzare tali account per tentare di svuotare i tuoi conti bancari, per esempio. Ecco perché il National Institute of Standards and Technology non raccomanda più l'uso di messaggi SMS per l'autenticazione a due fattori.
L'alternativa: genera codici sul dispositivo
Uno schema di autenticazione a due fattori che non si basa su SMS è superiore, in quanto la società di telefonia mobile non sarà in grado di fornire a qualcun altro l'accesso ai codici. L'opzione più popolare è un'app come Google Authenticator. Tuttavia, consigliamo Authy, poiché fa tutto ciò che fa Google Authenticator e altro.
App come questo generano codici sul tuo dispositivo. Anche se un utente malintenzionato ingannasse la tua compagnia di telefonia mobile per spostare il tuo numero di telefono sul loro telefono, non sarebbe in grado di ottenere i tuoi codici di sicurezza. I dati necessari per generare quei codici rimarrebbero saldamente sul tuo telefono.
Non devi nemmeno usare i codici. Servizi come Twitter, Google e Microsoft stanno testando l'autenticazione a due fattori basata su app che ti consente di accedere su un altro dispositivo autorizzando l'accesso nella loro app sul telefono.
Esistono anche token hardware fisici che è possibile utilizzare. Grandi aziende come Google e Dropbox hanno già implementato un nuovo standard per i token di autenticazione a due fattori basati su hardware denominati U2F. Questi sono tutti più sicuri che fare affidamento sulla società di telefonia cellulare e la rete telefonica obsoleta.
Se possibile, evitare SMS per l'autenticazione a due fattori. È meglio di niente e sembra conveniente, ma di solito è lo schema di autenticazione a due fattori meno sicuro che puoi scegliere.
Sfortunatamente, alcuni servizi ti obbligano a usare SMS. Se sei preoccupato, puoi creare un numero di telefono di Google Voice e consegnarlo ai servizi che richiedono l'autenticazione tramite SMS. Puoi quindi accedere al tuo account Google, che puoi proteggere con un metodo di autenticazione a due fattori più sicuro, e vedere i messaggi protetti nel sito web o nell'app di Google Voice. Non inoltrare i messaggi di Google Voice al tuo numero di cellulare effettivo.