L'autenticazione a due fattori basata su SMS può essere diretta fuori dalla porta

La messaggistica SMS per l'autenticazione a due fattori potrebbe diventare un ricordo del passato. Un'agenzia federale degli Stati Uniti scoraggia il suo uso.

L'Istituto nazionale degli standard e della tecnologia sta spingendo per il cambiamento. La sua ultima bozza della Linea guida per l'autenticazione digitale, aggiornata lunedì, avverte che i messaggi SMS possono essere intercettati o reindirizzati, rendendoli vulnerabili all'hacking.

Molte aziende, tra cui Twitter, Facebook e Google, oltre che banche, già utilizzano la messaggistica di testo basata su telefono per aggiungere un ulteriore livello di sicurezza agli account utente.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Funziona così: Per accedere agli account, l'utente non solo ha bisogno della password, ma anche di un codice segreto inviato dalla società tramite messaggio di testo. Idealmente, questi passcode unici vengono inviati a un numero di telefono designato per garantire che nessun altro li leggerà.

Ma anche così, gli hacker hanno ancora trovato il modo di ingannare il sistema. In passato, hanno utilizzato malware per infettare gli smartphone e reindirizzare segretamente i messaggi SMS su un altro dispositivo.

Altri hanno scelto di impersonare le loro vittime. Ciò può consentire all'hacker di chiamare la compagnia telefonica e chiedere loro di reindirizzare i messaggi di testo SMS a un altro numero di telefono.

NIST ha anche suggerito che i numeri di telefono collegati ai servizi basati su software, incluso VoIP, potrebbero essere vulnerabili agli attacchi di hacker, mettendo a rischio la lettura dei messaggi SMS.

L'agenzia federale sta invece raccomandando che l'industria tecnologica trovi meglio alternative. Ciò può includere ancora l'invio dei passcode monouso ma tramite un'app per smartphone protetta.

Ad esempio, Google offre già questa funzionalità con l'app Authenticator, che consentirà di ignorare le reti telefoniche e generare un codice direttamente sullo smartphone

Non è chiaro in che modo l'industria tecnologica potrebbe reagire alla proposta dell'agenzia federale. Ma i fornitori di soluzioni di sicurezza informatica stanno già escogitando modi per proteggere meglio account e dispositivi utente tramite riconoscimento delle impronte digitali, token hardware e altri metodi.

Keith Graham, CTO di SecureAuth, approva la proposta del NIST. La sua azienda è specializzata nell'autenticazione a più fattori e ha affermato che gli hacker stanno sempre più trovando modi per indirizzare i passcode contenuti nei messaggi SMS.

"I giorni degli approcci a due fattori vanilla non sono più sufficienti per la sicurezza", ha detto in un email.

Tuttavia, la messaggistica SMS per l'autenticazione a due fattori è ancora una scelta popolare per le aziende che desiderano proteggere gli account dei propri utenti. "Nessun'altra piattaforma ha lo stesso livello di ubiquità", ha dichiarato Kevin Panzavecchia, CTO del provider di sicurezza della rete mobile HAUD,

Le vulnerabilità del sistema potrebbero essere risolte tramite firewall di rete mobile in grado di filtrare potenziali abusi, ha aggiunto.

Il NIST sta cercando un commento pubblico sul suo progetto di proposta.