Microsoft vuole che tu smetta di ricevere codici 2FA per telefono
È sempre una buona idea proteggere i tuoi account con una sorta di autenticazione a 2 fattori (2FA), ma non tutti i metodi sono uguali. Sebbene gli SMS e le chiamate telefoniche 2FA siano in circolazione da molto tempo, Microsoft afferma che è giunto il momento di riattaccare e passare a tecnologie migliori.
Cosa ha detto Microsoft su SMS 2FA?
Alex Weinert, Director of Identity Security di Microsoft, ha pubblicato un post sul sito Web della Tech Community . Discute lo stato attuale dei metodi di autenticazione a più fattori e perché 2FA di testo e voce non è forte come una volta.
Innanzitutto, la 2FA basata su telefono non può adattarsi agli attacchi così come ad altre tecnologie. Se un hacker trova un modo per sfruttare gli SMS o le telefonate, non puoi davvero modificare il modo in cui queste tecnologie funzionano per proteggerli.
Inoltre, le telefonate e i messaggi SMS non possono essere crittografati senza un'app speciale. Se un hacker riesce ad attingere alle tue chiamate o ai tuoi messaggi, può ottenere tutte le informazioni di cui ha bisogno con uno sforzo aggiuntivo minimo.
Anche ricevere una telefonata o un messaggio di testo dipende in gran parte dalle prestazioni della tua rete mobile. Se ti trovi in un'area con un servizio imprevedibile, potrebbe essere difficile ricevere effettivamente il codice.
Ancora peggio, i messaggi SMS sono "spara e dimentica", il che significa che il mittente non ha alcun modo per vedere se i suoi messaggi stanno arrivando sul telefono del cliente. Invia solo il messaggio di testo e spera che il cliente lo abbia capito.
Per finire, la 2FA basata sul telefono utilizza un sistema di assistenza clienti per eseguire il backup. Le persone che lavorano presso l'assistenza clienti possono essere ingannate o costrette dagli hacker a consentire l'accesso al telefono 2FA, garantendo loro l'accesso.
Alex Weinert afferma che non vuole venire fuori come se non gli piacesse 2FA. Pensa che sia una parte essenziale della sicurezza online di chiunque. È solo che la 2FA che si basa sui servizi telefonici è difettosa e dovrebbero essere utilizzate alternative più forti.
I metodi 2FA basati sul telefono sono davvero obsoleti?
Alex fa un punto fantastico con il suo post. Quando 2FA ha iniziato a fare scalpore su Internet, la certificazione del telefono era uno dei modi più semplici e veloci per proteggere il proprio account.
Al giorno d'oggi, tuttavia, gli SMS e le telefonate non sono più buoni come una volta. Innanzitutto, l'email 2FA è semplice ed efficace, poiché puoi proteggere un account di posta elettronica con una password complessa e utilizzare un servizio di posta elettronica crittografato per proteggere i tuoi messaggi.
Non solo, ma ci sono app e servizi che generano codici 2FA per te. Non è necessario che te ne venga inviato uno; basta aprire l'app e vedere qual è il codice corrente e sei a posto. Queste app possono essere ulteriormente protette utilizzando dati biometrici o codici di accesso.
In sostanza, Alex ha colpito nel segno. Sebbene la 2FA sia importante, gli SMS e le telefonate sono alcuni dei metodi più deboli e meno convenienti per raggiungere questo obiettivo.
Rendere 2FA ancora più forte
Sebbene la 2FA sia importante, Microsoft ritiene che ci siano modi migliori per proteggere il tuo account rispetto all'utilizzo di SMS e telefonate. Poiché la tecnologia 2FA continua a svilupparsi, ricevere un codice tramite testo può diventare un passato perduto da tempo.
Ovviamente Microsoft non è stata la prima ad avere questa idea. Ci sono molti motivi per smettere di usare SMS 2FA e adottare tecnologie come le chiavi U2F.
Credito di immagine: vladwel / Shutterstock.com
