L'autenticazione a due fattori è ovunque. Dal momento in cui accedi al tuo account Gmail per accedere ai tuoi dettagli finanziari tramite PayPal, 2FA è lì per salutarti come un modo più sicuro di accedere. Lo troverai anche quando configuri una PS5 o Xbox Series X. Diamine , è probabile che ti ci sia già abituato oggi.
Conosciuto anche come autenticazione a più fattori, 2FA è un ulteriore livello di sicurezza, utilizzato praticamente da ogni piattaforma online, che impedisce a molti hacker di basso livello di trovarsi sulle loro tracce, proteggendo tutte le tue preziose informazioni private dalla violazione.
- Le migliori offerte telefoniche nel 2022-2023
- Scopri i migliori smartphone del 2022-2023
Purtroppo, le tattiche di hacking sono in continua evoluzione e tutto ciò che serve è un astuto criminale informatico per trovare un minuscolo foro nell'armatura e saccheggiare quelli che una volta erano account impenetrabili a loro piacimento. Ma non devi essere un mago nel decifrare il codice per accedere all'account di una vittima ignara.
Infatti, secondo il Verizon Data Breach Investigations Report 2022-2023, il 61% delle 5.250 violazioni di sicurezza confermate analizzate dall'operatore di rete americano riguardava credenziali rubate. Ovviamente, lo scopo dell'autenticazione a più fattori è impedire agli attori malintenzionati di accedere a un account anche se scoprono una password super-segreta.
Ma proprio come Scar ha lasciato Mufasa per cadere nel suo destino in uno dei più grandi tradimenti di tutti i tempi, il metodo di sicurezza può anche essere la causa principale dell'attività dei criminali informatici. Il vero traditore? Il tuo vecchio numero di telefono.
Per capire meglio come gli aggressori possono facilmente utilizzare l'autenticazione a due fattori contro di te, è meglio sapere qual è il metodo di sicurezza online e come funziona. Se aiuta, pensa al tuo vecchio numero di telefono come Scar in tutto questo pezzo.
Che cos'è l'autenticazione a due fattori?
L'autenticazione a più fattori (MFA) è un metodo di autenticazione digitale utilizzato per confermare l'identità di un utente per consentirgli l'accesso a un sito Web o a un'app tramite almeno due elementi di prova. L'autenticazione a due fattori, più comunemente nota come 2FA, è il metodo più comunemente utilizzato.
Affinché 2FA funzioni, un utente deve disporre di almeno due importanti credenziali per accedere a un account (con multifattore che di solito coinvolge più di tre dettagli diversi). Ciò significa che se un utente non autorizzato mette le mani su una password, avrà comunque bisogno di accedere a un'e-mail o a un numero di telefono collegato all'account a cui viene inviato un codice speciale per un ulteriore livello di protezione.
Ad esempio, una banca richiederà un nome utente e una password per consentire a un utente di accedere al proprio conto, ma necessita anche di una seconda forma di autenticazione come un codice univoco o il riconoscimento delle impronte digitali per confermare l'identità di un utente. Questo secondo fattore può essere utilizzato anche prima che venga effettuata una transazione.
Come spiegato dalla società di software Ping Identity, le credenziali richieste di 2FA sono suddivise in tre diverse categorie: "cosa sai", "cosa hai" e "cosa sei". In termini di "ciò che sai", o la tua conoscenza, questo si riduce alle tue password, al numero PIN o alla risposta a una domanda di sicurezza come "qual è il cognome da nubile di tua madre?" (qualcosa che non mi sembra di ricordare).
"Quello che sei" è probabilmente la categoria più sicura, in quanto conferma la tua identità da un tratto fisico unico solo per te. Questo di solito è visto su smartphone, come un iPhone o un telefono Samsung Galaxy, utilizzando l'autenticazione biometrica come un'impronta digitale o una scansione facciale per ottenere l'accesso.
Per quanto riguarda "ciò che hai", questo si riferisce a ciò che è in tuo possesso, che può essere qualsiasi cosa, da un dispositivo intelligente a una smart card. In genere, questo metodo significa ricevere una notifica pop-up sul telefono tramite SMS che deve essere confermata prima di accedere a un account. Per tutti i professionisti che utilizzano Google Gmail per le aziende, ti sarai imbattuto in questa categoria.
Sfortunatamente, quest'ultima categoria è motivo di preoccupazione, specialmente quando si aggiunge il riciclaggio del numero di telefono nel mix.
Riciclo del numero di telefono
Secondo la Federal Communications Commission (FCC), più di 35 milioni di numeri negli Stati Uniti vengono disconnessi e tornano disponibili riassegnandoli a un nuovo abbonato ogni anno. Certo, i numeri sono infiniti e basta, ma ci sono solo tante combinazioni di 10 o 11 cifre che una rete mobile può offrire ai suoi clienti.
L'Office of Communications (Ofcom) del Regno Unito, l'entità che assegna i numeri di cellulare ai provider di rete del Regno Unito, afferma (tramite The Evening Standard) di avere una rigorosa politica "usalo o perdi" per il pagamento in base al consumo numeri di cellulare. Vodafone disconnette e ricicla un numero di telefono dopo soli 90 giorni di inattività, mentre O2 lo fa dopo 12 mesi.
Negli Stati Uniti, i provider di rete tra cui Verizon e T-Mobile consentono ai clienti di cambiare e scegliere i numeri disponibili mostrati sulle interfacce di cambio numero online tramite il loro sito Web o app. Sono disponibili milioni di numeri di telefono riciclati, e ogni giorno se ne accumulano sempre di più.
I numeri riciclati possono essere dannosi per coloro che originariamente li possedevano, poiché molte piattaforme, tra cui Gmail e Facebook, sono collegate al tuo numero di cellulare per il recupero della password o, ed ecco il kicker, l'autenticazione a due fattori.
Come la 2FA ti mette a rischio
Uno studio dell'Università di Princeton ha scoperto con quanta facilità chiunque può ottenere un numero di telefono riciclato e utilizzarlo per diversi attacchi informatici comuni, tra cui sequestri di account e persino negando l'accesso a un account tenendolo in ostaggio e chiedendo un riscatto in cambio dell'accesso.
Secondo lo studio, un utente malintenzionato può trovare i numeri disponibili e verificare se qualcuno di essi è associato ad account online di precedenti proprietari. Visualizzando i loro profili online e controllando se il loro vecchio numero è collegato, gli aggressori possono acquistare il numero riciclato (solo $ 15 su T-Mobile) e reimpostare la password sugli account. Utilizzando 2FA, riceveranno e inseriranno il codice speciale inviato tramite SMS.
I ricercatori hanno testato 259 numeri ottenuti tramite i due operatori di telefonia mobile statunitensi e hanno scoperto che 171 di loro avevano un account collegato su almeno uno dei sei siti Web comunemente utilizzati: Amazon, AOL, Facebook, Google, PayPal e Yahoo. Questo è chiamato "attacco di ricerca inversa".
I ricercatori hanno scoperto un'altra variante dell'attacco che ha permesso ad attori malintenzionati di dirottare gli account senza dover reimpostare una password. Utilizzo del servizio di ricerca di persone online BeenVerified, un hacker potrebbe cercare un indirizzo e-mail utilizzando un numero di telefono riciclato, quindi controllare se gli indirizzi e-mail sono stati coinvolti in violazioni dei dati utilizzando Have I Been Pwned?. In tal caso, l'autore dell'attacco potrebbe acquistare la password su un mercato nero di criminali informatici e violare un account abilitato 2FA senza dover reimpostare la password.
A peggiorare le cose, gli aggressori possono anche prendere in ostaggio il tuo account. Un brutto trucco vede un hacker ottenere un numero per iscriversi a diversi servizi online che richiedono un numero di telefono. Una volta completato, interrompono il servizio in modo che il numero possa essere riciclato per consentire a un nuovo abbonato di iniziare a utilizzare. Quando il nuovo utente tenta di iscriversi agli stessi servizi, l'hacker riceverà una notifica tramite 2FA e gli negherà la possibilità di utilizzare il servizio. L'autore della minaccia chiederà quindi alla vittima di pagare un riscatto se desidera utilizzare questi servizi online.
Usare 2FA in questo modo è atroce, ma ciò non impedisce che accada. T-Mobile ha rivisto la ricerca a dicembre e ora ricorda agli abbonati di aggiornare il proprio numero di contatto sui conti bancari e sui profili dei social media sulla sua pagina di supporto per la modifica del numero. Ma questo è tutto ciò che il vettore ha il potere di fare, il che significa che coloro che non sono informati saranno soggetti ad attacchi.
Modi alternativi per utilizzare 2FA
Semmai, i numeri di telefono e 2FA non si adattano molto bene. La buona notizia, tuttavia, è che ora ci sono più opzioni disponibili quando si sceglie di utilizzare 2FA, inclusi i suddetti metodi biometrici o app di autenticazione.
Tuttavia, queste opzioni non sono sempre disponibili e, a volte, i servizi online ti forniscono solo due opzioni per 2FA: il tuo numero di telefono o il tuo indirizzo e-mail. Se non vuoi che gli hacker rovistano tra le tue informazioni private, è meglio optare per l'autenticazione e-mail. Certo, ci sono quelli che non usano sempre le loro e-mail e, con il tempo, possono spesso dimenticare le loro password. Nessuna password, significa nessun modo per ottenere un codice di autenticazione.
Per risolvere questo problema, è meglio trovare un gestore di password. LastPass è stato il punto di riferimento per anni grazie al suo servizio di livello gratuito, ma ci sono altri contendenti che vale la pena provare.
"Ma cosa succede se sto già usando il mio numero di telefono per 2FA?" ti sento chiedere. Se stai pensando di cambiare il tuo numero di telefono, assicurati di scollegare il tuo numero di telefono dai servizi online a cui è connesso prima di effettuare il passaggio. E, se hai già effettuato il passaggio, vale la pena dedicare del tempo ad aggiornare i tuoi account per sbarazzarsi di eventuali cicatrici (numeri di telefono) in attesa di pugnalarti alle spalle quando meno te lo aspetti.
Veduta
L'autenticazione a due fattori è ovunque ed è qui per restare. In effetti, Google ti obbligherà presto a utilizzare 2FA al momento dell'accesso, con il gigante della tecnologia che garantisce un "futuro più sicuro senza password". Questa non è un'idea terribile, ma c'è la possibilità che molte persone usino i loro numeri di telefono come un modo per essere identificati. Siamo sicuri che agli hacker di basso livello piaccia il suono di questo.
Per evitare che ciò accada, una volta che 2FA inizia a prendere il controllo di tutte le piattaforme online, tutto ciò che devi fare è leggere il titolo di questo articolo e seguire i nostri consigli.