5 motivi di security per non utilizzare gli SMS come MFA

Usare gli SMS come mezzo aggiuntivo alla password per autenticarsi è sicuramente meglio di niente, ma non è l’approccio più affidabile. Vediamo insieme i 5 motivi per cui gli SMS non dovrebbero essere utilizzati per l’MFA, secondo Tom Merritt:

La Multi-Factor Authentication (MFA), chiamata anche Two-Factor Authentication (2FA) è essenziale: significa che non si fa affidamento solo sulla propria password per la sicurezza. Quella password è qualcosa che si conosce, ma con l’MFA si fa affidamento anche su altri fattori, come qualcosa che si è (es. il proprio viso, l’impronta digitale, ecc.) o qualcosa che si ha, come una chiave di sicurezza.

Gli SMS sono il fattore aggiuntivo utilizzato più di frequente perché quasi tutti lo hanno, ed è molto facile da gestire per gli sviluppatori, ma è anche il meno sicuro. Anche se è meglio di niente, è molto più sicuro utilizzare un’App di autenticazione (come HYPR) o una chiave di sicurezza hardware. Ecco 5 motivi per non utilizzare gli SMS come MFA.

1. Gli SMS e le chiamate vocali non sono crittografati.Vengono invece trasmessi in chiaro, rendendoli più facili da intercettare. Gli aggressori determinati hanno accesso a una vasta gamma di strumenti, dalle radio software-defined, alle celle FEMTO, ai servizi di intercettazione SS7.
2. I codici SMS sono vulnerabili al phishing. Uno strumento chiamato Modlishka utilizza il contenuto effettivo del sito che sta imitando per far inserire le proprie informazioni e reindirizza su quel sito alla fine in modo che non ci si accorga nemmeno di essere lì. CredSniper ed Evilginx sono strumenti di phishing simili. Una YubiKey o simile non è vulnerabile a questo attacco.
3. I dipendenti possono essere ingannati telefonicamente. Gli aggressori possono indurre un dipendente a trasferire un numero di telefono sulla scheda SIM dell’attaccante, il che significa che i codici di sicurezza vengono inviati a loro invece che l proprietario.
4. Interruzioni. Le app di autenticazione e le chiavi di sicurezza funzionano offline. Gli SMS richiedono che il servizio telefonico sia disponibile per funzionare e talvolta il sistema telefonico può interrompersi o avere dei ritardi.
5. È improbabile che gli SMS diventino più sicuri. Man mano che l’autenticazione a più fattori diventa più comune, più aggressori la prenderanno di mira. Gli aggressori di solito prendono di mira l’anello più debole della sicurezza e nell’MFA, gli SMS sono l’anello più debole.

Detto questo, se l’SMS è l’unica opzione, usalo! Avere gli SMS come multi-factor authentication è meglio che non avere altri fattori e fare affidamento solo su una password, ma se si ha la possibilità, sarebbe meglio scegliere un’App di autenticazione o, ancora meglio, una chiave di sicurezza.