sicurezza web internet final

La verifica in due passaggi con SMS non è sicura e negli USA arriva il divieto

Cosimo Alfredo Pina

Dall’US National Institute for Standards and Technology (NIST) arriva un’importante decisione per il mondo della sicurezza online; l’agenzia governativa ha infatti decretato che il sistema di verifica in due step tramite SMS non è sicuro. Una presa di posizione notevole, considerando che praticamente tutti i big dei servizi online indicano questo sistema di sicurezza tra i migliori per proteggere il proprio account.

Eppure il NIST nell’ultima bozza delle Digital Authentication Guideline, la regolamentazione per i processi di autenticazione online, ha rimosso il sistema autenticazione in due step tramite SMS indicandola come obsoleta. La cosa deriva dal fatto che per l’ente i vecchi messaggi non sono così sicuri come si pensava.

LEGGI ANCHE: Il team di Chrome lavora alla crittografia per l’era post-quantica

Il telefono, magari non protetto in alcun modo, potrebbe ad esempio non essere in possesso dell’effettivo proprietario dell’account oppure essere facilmente intercettato, ad esempio da un’app malevola.

“Usare gli SMS diviene deprecato, e nelle future versioni di questo documento sarà espressamente vietata”

Per il NIST, che comunque detta legge, rimangono validi sistemi di protezione a due step funzionanti grazie ad applicazioni sicure e specifiche oppure legati ai parametri biometrici, come le impronte digitali. Nonostante per ora la cosa riguardi solo gli USA non è difficile immaginare il fatto che nei prossimi anni dovremo probabilmente dire addio al classico SMS di conferma, che sarà probabilmente totalmente rimpiazzato da metodi alternativi, tra l’altro già offerti da alcune aziende tra cui anche Google.

  • Alberto .

    Metodi alternativi …. quali? Token yubi?

    • giosann

      L’app di Google authenticator, la app di Facebook…

      • Ugo

        che però potrebbero altrettanto essere sul telefono non in possesso dell’effettivo proprietario