La verifica in due passaggi con SMS non è sicura e negli USA arriva il divieto

Dall'US National Institute for Standards and Technology (NIST) arriva un'importante decisione per il mondo della sicurezza online; l'agenzia governativa ha infatti decretato che il sistema di verifica in due step tramite SMS non è sicuro. Una presa di posizione notevole, considerando che praticamente tutti i big dei servizi online indicano questo sistema di sicurezza tra i migliori per proteggere il proprio account.

Eppure il NIST nell'ultima bozza delle Digital Authentication Guideline, la regolamentazione per i processi di autenticazione online, ha rimosso il sistema autenticazione in due step tramite SMS indicandola come obsoleta. La cosa deriva dal fatto che per l'ente i vecchi messaggi non sono così sicuri come si pensava.

Il telefono, magari non protetto in alcun modo, potrebbe ad esempio non essere in possesso dell'effettivo proprietario dell'account oppure essere facilmente intercettato, ad esempio da un'app malevola.

"Usare gli SMS diviene deprecato, e nelle future versioni di questo documento sarà espressamente vietata"

Per il NIST, che comunque detta legge, rimangono validi sistemi di protezione a due step funzionanti grazie ad applicazioni sicure e specifiche oppure legati ai parametri biometrici, come le impronte digitali.

Nonostante per ora la cosa riguardi solo gli USA non è difficile immaginare il fatto che nei prossimi anni dovremo probabilmente dire addio al classico SMS di conferma, che sarà probabilmente totalmente rimpiazzato da metodi alternativi, tra l'altro già offerti da alcune aziende tra cui anche Google.