5 motivi di security per non utilizzare gli SMS come MFA

22/01/2021
Usare gli SMS come mezzo aggiuntivo alla password per autenticarsi è sicuramente meglio di niente, ma non è l’approccio più affidabile. Vediamo insieme i 5 motivi per cui gli SMS non dovrebbero essere utilizzati per l’MFA, secondo Tom Merritt:

La Multi-Factor Authentication (MFA), chiamata anche Two-Factor Authentication (2FA) è essenziale: significa che non si fa affidamento solo sulla propria password per la sicurezza. Quella password è qualcosa che si conosce, ma con l’MFA si fa affidamento anche su altri fattori, come qualcosa che si è (es. il proprio viso, l’impronta digitale, ecc.) o qualcosa che si ha, come una chiave di sicurezza.

Gli SMS sono il fattore aggiuntivo utilizzato più di frequente perché quasi tutti lo hanno, ed è molto facile da gestire per gli sviluppatori, ma è anche il meno sicuro. Anche se è meglio di niente, è molto più sicuro utilizzare un’App di autenticazione (come HYPR) o una chiave di sicurezza hardware. Ecco 5 motivi per non utilizzare gli SMS come MFA.

  1. Gli SMS e le chiamate vocali non sono crittografati.Vengono invece trasmessi in chiaro, rendendoli più facili da intercettare. Gli aggressori determinati hanno accesso a una vasta gamma di strumenti, dalle radio software-defined, alle celle FEMTO, ai servizi di intercettazione SS7.
  2. I codici SMS sono vulnerabili al phishing. Uno strumento chiamato Modlishka utilizza il contenuto effettivo del sito che sta imitando per far inserire le proprie informazioni e reindirizza su quel sito alla fine in modo che non ci si accorga nemmeno di essere lì. CredSniper ed Evilginx sono strumenti di phishing simili. Una YubiKey o simile non è vulnerabile a questo attacco.
  3. I dipendenti possono essere ingannati telefonicamente. Gli aggressori possono indurre un dipendente a trasferire un numero di telefono sulla scheda SIM dell’attaccante, il che significa che i codici di sicurezza vengono inviati a loro invece che l proprietario.
  4. Interruzioni. Le app di autenticazione e le chiavi di sicurezza funzionano offline. Gli SMS richiedono che il servizio telefonico sia disponibile per funzionare e talvolta il sistema telefonico può interrompersi o avere dei ritardi.
  5. È improbabile che gli SMS diventino più sicuri. Man mano che l’autenticazione a più fattori diventa più comune, più aggressori la prenderanno di mira. Gli aggressori di solito prendono di mira l’anello più debole della sicurezza e nell’MFA, gli SMS sono l’anello più debole.

Detto questo, se l’SMS è l’unica opzione, usalo! Avere gli SMS come multi-factor authentication è meglio che non avere altri fattori e fare affidamento solo su una password, ma se si ha la possibilità, sarebbe meglio scegliere un’App di autenticazione o, ancora meglio, una chiave di sicurezza.

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

7 suggerimenti per fermare gli hacker del Wi-Fi

7 suggerimenti per fermare gli hacker del Wi-Fi

La sicurezza perimetrale non è più sufficiente per le reti di oggi. Questo perché ci sono tanti modi per aggirare il tuo robusto firewall e semplicemente entrare dalla porta sul retro. Alcuni dei metodi utilizzati dagli hacker per aggirare le difese perimetrali...

Come capire se una mail ha subito spoofing

Come capire se una mail ha subito spoofing

L'email spoofing è la creazione di e-mail con un indirizzo mittente contraffatto, e ha l'obiettivo di indurre il destinatario a fornire denaro o informazioni sensibili. Se la tua azienda utilizza un dominio registrato per la propria e-mail, è probabile che tu ne abbia...