Autenticazione-a-due-fattori

È ormai risaputo che nomi utente e password non sono sufficienti per accedere in sicurezza ai servizi online. Uno studio recente ha evidenziato che oltre l’80% di tutte le violazioni legate all’hacking si verificano a causa di credenziali compromesse e deboli, con tre miliardi di combinazioni nome utente/password rubate solo nel 2016.

Pertanto, l’implementazione dell’autenticazione a due fattori (2FA) è diventata una necessità. In generale, 2FA mira a fornire un ulteriore livello di sicurezza al sistema nome utente/password relativamente vulnerabile.

Ma come con qualsiasi buona soluzione di sicurezza informatica, gli aggressori possono rapidamente escogitare modi per aggirarla. Possono bypassare la sicurezza 2FA attraverso i codici monouso inviati come SMS allo smartphone di un utente.

Eppure molti servizi online critici in Australia utilizzano ancora codici monouso basati su SMS, tra cui myGov e le 4 grandi banche: ANZ, Commonwealth Bank, NAB e Westpac.
Allora qual è il problema degli SMS?

Una vulnerabilità da non sottovalutare

I principali fornitori come Microsoft hanno esortato gli utenti ad abbandonare le soluzioni 2FA che sfruttano SMS e chiamate vocali. Questo perché gli SMS sono famosi per avere una sicurezza scarsa, lasciandoli aperti a una miriade di attacchi diversi.

Lo scambio di SIM implica che un aggressore convinca il fornitore di servizi mobili di una vittima che lui stesso è la vittima e quindi richieda che il numero di telefono della vittima venga trasferito su un dispositivo di sua scelta.

È stato anche dimostrato che i codici monouso basati su SMS sono compromessi tramite strumenti prontamente disponibili come Modlishka sfruttando una tecnica chiamata proxy inverso. Ciò facilita la comunicazione tra la vittima e un servizio.

Quindi, nel caso di Modlishka, intercetterà la comunicazione registrando le interazioni, comprese le credenziali di accesso che potrebbero utilizzare.

Oltre a queste vulnerabilità esistenti, sono state riscontrate ulteriori vulnerabilità anche sul Google Play Store.

Se un utente malintenzionato ha accesso alle tue credenziali e riesce ad accedere al tuo account Google Play su un laptop, può quindi installare qualsiasi app che desidera automaticamente sul tuo smartphone.

Articolo precedenteHonda vuole creare delle batterie a stato solido per auto che si ricaricano in 15 minuti
Articolo successivoUcraina vs Russia: la guerra dell’Intelligenza Artificiale è reale, ecco come funziona