0 risultati
video suggerito
video suggerito
10 Gennaio 2025
6:00

L’FBI mette in guardia contro l’uso degli SMS nell’autenticazione a due fattori

Anziché ricorrere ai codici OTP recapitati tramite SMS, l'FBI e la CISA raccomandano sistemi più sicuri per l’autenticazione a due fattori, tra cui app di autenticazione, chiavi FIDO e passkey.

95 condivisioni
L’FBI mette in guardia contro l’uso degli SMS nell’autenticazione a due fattori
FBI SMS autenticazione a due fattori

Negli ultimi anni, l’autenticazione a due fattori o 2FA è diventata uno strumento essenziale per proteggere i propri account online, aggiungendo un livello di sicurezza aggiuntivo rispetto alla semplice combinazione di username e password. Tuttavia, non tutti i metodi di 2FA sono ugualmente sicuri, e l’FBI (Federal Bureau of Investigation) ha recentemente emesso un avvertimento significativo: smettere di utilizzare gli SMS come mezzo di verifica, in quanto giudicati poco sicuri. Questa raccomandazione arriva dopo una delle più gravi violazioni di sicurezza nella storia degli Stati Uniti, attribuita al gruppo Salt Typhoon, presunto “braccio operativo” del governo cinese, che ha dimostrato quanto siano vulnerabili le reti di telecomunicazione e ha sollevato preoccupazioni globali sulla sicurezza dei dati. Anche la CISA (Cybersecurity and Infrastructure Security Agency), sconsiglia l'uso degli SMS come strumento di verifica, giudicandolo come «non resistente al phishing». Molto meglio optare per soluzioni più sicure, come app di autenticazione, chiavi di sicurezza FIDO o sistemi di passkey, pensati per resistere anche agli attacchi più sofisticati.

Il problema degli SMS secondo l'FBI e la minaccia degli attacchi phishing

L’autenticazione a due fattori tramite SMS prevede l’invio di un codice temporaneo via messaggio di testo al numero di telefono dell’utente. Questo metodo, pur essendo indubbiamente molto pratico, presenta vulnerabilità significative. I messaggi di testo non sono crittografati, il che significa che possono essere intercettati da attori malintenzionati con accesso alle reti di telecomunicazione.

Secondo Yashin Manraj, esperto di sicurezza informatica, il rischio principale non risiede solo nell’intercettazione dei codici, ma anche nella facilità con cui gli utenti cadono vittime di attacchi di phishing. Al sito NewsNation ha infatti dichiarato:

In termini di SMS, la preoccupazione più grande non è l'autenticazione a due fattori, ma il fatto che le persone cliccano su molti link. Credo che il 60-70% degli hack attivi e riusciti sia dovuto al fatto che le persone sono state in grado di inviare link di phishing che fondamentalmente sono in grado di dirottare le informazioni dell'utente, le informazioni bancarie o l'accesso a infrastrutture più critiche.

Alternative più sicure alla 2FA via SMS

Per migliorare la sicurezza, il CISA consiglia di adottare alternative più robuste alla 2FA via SMS. Le app di autenticazione, come Google Authenticator o Microsoft Authenticator, generano codici temporanei direttamente sul dispositivo dell’utente, rendendoli inaccessibili a chiunque non abbia accesso fisico al dispositivo. Un’altra opzione affidabile è rappresentata dall’autenticazione basata su FIDO (Fast IDentity Online), che utilizza chiavi di sicurezza fisiche o tecnologie biometriche per verificare l’identità dell’utente.

Un altro sistema sicuro è rappresentato dalle sempre più diffuse passkey, che eliminano del tutto la necessità di password “tradizionali”, che basano il loro funzionamento su standard di crittografia avanzati e l'uso dei dati biometrici salvati sul dispositivo, rendendo praticamente impossibile l’accesso non autorizzato agli account, anche in caso di phishing.

Buone pratiche per proteggere i vostri account

Oltre a scegliere metodi di autenticazione sicuri, il CISA suggerisce alcune fondamentali buone pratiche per proteggere dispositivi e dati personali.

  • Mantenete aggiornati i vostri smartphone e computer con gli ultimi aggiornamenti di sicurezza disponibili.
  • Abilitate la protezione tramite PIN per le SIM e utilizzate password complesse.
  • Usate un gestore di password per creare e memorizzare credenziali uniche e complesse per ogni account, evitando l’uso di combinazioni prevedibili o riutilizzate.
Sfondo autopromo
Cosa stai cercando?
api url views