Immagine 1 di 2
Il problema con 2FA
Google insiste giustamente sul fatto che l'autenticazione in due passaggi aggiunge un ulteriore livello di sicurezza a Gmail, ma sbaglia quando afferma che gli hacker dovrebbero "impossessarsi del tuo telefono" e della tua password per accedere al tuo account.
Le password monouso SMS (OTP) sono vulnerabili agli attacchi man-in-the-middle (MITM) perché sono note come "insicure out of" metodo banda', e il mittente di quella OTP non può sapere con certezza che l'utente reale è in possesso del telefono a cui viene inviato inviato.
Sebbene 2SA offra una gradita sicurezza aggiuntiva, non è infallibile; dovresti comunque implementare strategie di sicurezza intelligenti
Nel caso di 2SA, il “qualcosa” che possiedi potrebbe effettivamente essere qualcosa che qualcun altro ha (un ladro) o qualcosa a cui qualcun altro ha accesso (un utente malintenzionato MITM). L'attacco MITM richiede che tu sia stato prima attirato su un sito Web falso che ha clonato il vero affare, nel quale inserisci le tue credenziali di accesso. Il sito clone ti chiederà spesso di inserirli nuovamente, sostenendo che sono stati inseriti in modo errato. Questo non è considerato sospetto in quanto tutti commettiamo errori di battitura, ma in realtà il sito clone sta solo prendendo tempo mentre contatta il sito reale con le tue credenziali. Il sito reale invierà quindi l'OTP al tuo smartphone, tu inserirai il codice generato nel sito clone e l'hacker lo inserirà nel sito reale.
Ancora con noi? Bene, perché ora il tuo account sarà stato compromesso. Si giocherà più tempo visualizzando qualche messaggio di errore o altro, durante il quale l'hacker lo farà effettuare un trasferimento dal conto, modificare la password o fare qualsiasi cosa di cui abbiano bisogno per trarre profitto dal attacco.
Pertanto, sebbene 2SA offra una gradita sicurezza aggiuntiva, non è infallibile. Ciò significa che dovresti comunque implementare misure di sicurezza intelligenti non riutilizzando le stesse password su più siti, non fare clic prima e pensare dopo e utilizzare strumenti di sicurezza per avvisarti di potenziali URL direzioni sbagliate.
Il prossimo passo
Vari servizi utilizzano i propri metodi di autenticazione in due passaggi, ma la maggior parte segue uno schema simile. Per vedere di persona come funziona e come configurarlo, segui il nostro tutorial su come impostare l'autenticazione in due passaggi in Gmail.
