Microsoft è da tempo impegnata a promuovere l’adozione di nuovi sistemi di autenticazioni a prova di hacker, e a quanto pare tra le possibili alternative sicure alla password non ci sono quelle che fanno uso degli SMS. L’autenticazione a doppio fattore (2FA) a base di messaggi inviati sul cellulare andrebbe superata quanto prima, dice la corporation di Redmond.
A spingere per l’abbandono della 2FA via SMS è Alex Weinert, direttore della Identity Security di Microsoft che ha affrontato il problema in un post pubblicato in questi giorni. L’autenticazione 2FA rafforza la sicurezza di un account confermando l’identità di chi sta provando ad accedervi attraverso un codice aggiuntivo, così da evitare che l’eventuale compromissione delle credenziali di accesso di base (e-mail e password) porti a conseguenze niente affatto positive.
L’uso degli SMS per la 2FA/MFA espone a un bel po’ di rischi, dice Weinert, visto che si tratta di una tecnologia “non adattabile” ai nuovi contesti perché non basata su soluzioni software. I messaggi testuali vengono trasmessi in chiaro sulle reti cellulari, e quindi espongono gli utenti al rischio di abuso, contraffazione o intercettazione delle comunicazioni.
Gli SMS sono vulnerabili alle tecniche di ingegneria sociale, e più in generale hanno fatto oramai il loro tempo. Weinert suggerisce l’uso dei nuovi sistemi di autenticazione multi-fattore (MFA) basati su app mobile come Microsoft Authenticator, e concede in ogni caso che la MFA è uno strumento oramai indispensabile per tenere al sicuro i dati e gli account. Anche se gestita solo via SMS, qualsiasi protezione 2FA/MFA è meglio di niente.