Uno dei modi più convenienti per gli utenti mobili per accedere alle app – e il metodo su cui molte aziende si affidano per concedere l’accesso – è una password monouso, o OTP, che viene spesso condivisa tramite messaggio di testo. Ma c’è un crescente consenso tra gli esperti di sicurezza informatica sul fatto che le password monouso, come le password tradizionali, dovrebbero essere gradualmente eliminate, anche se gli esperti dicono che è dubbio che ciò accadrà presto.
I consumatori sono invitati a prestare attenzione ai diversi tipi di password monouso e ai relativi rischi per la sicurezza rispetto ai vantaggi offerti da ciascuno. L’esperienza dimostra che esistono sempre dei modi per aggirare l’autenticazione, ma alcuni metodi sono più efficaci di altri, secondo Ant Allan, vicepresidente analista di Gartner Research. “Non esistono metodi di autenticazione infallibili”, ha affermato Alan.
Ecco cosa i consumatori devono sapere sulle password monouso (OTP) e sulla sicurezza online:
Le carte OTP sono vulnerabili alle frodi online
Le password monouso (OTP) inviate tramite testo o SMS sono più vulnerabili agli attacchi da parte di truffatori attraverso una varietà di mezzi come attacchi di phishing, spoofing e sicurezza fraudolenta presso Javelin Strategy & Research, ha affermato Tracy C. Kitten, direttore del dipartimento antifrode e sicurezza presso la scheda SIM Javelin Strategy & Research e intercettare messaggi, anche se hai il telefono in tuo possesso.
Il problema è aggravato dal fatto che quando un account mobile o un sito web vengono violati, potresti non rendertene conto immediatamente. “Puoi chiedere a una banca, ad esempio, di inviare un messaggio di testo e poi rispedirlo, senza rendersi conto che qualcun altro lo ha ricevuto”, afferma Keaten. “Potrebbero volerci 45 minuti prima di rendersi conto che qualcosa non va, e basta punto è troppo tardi.” “Grasso.”
Utilizza l’app di autenticazione di Google e Microsoft
L’opzione migliore, anche se non è la soluzione definitiva, è scaricare un’app di autenticazione, come Google Authenticator o Microsoft Authenticator, su un dispositivo mobile, dicono gli esperti di sicurezza. Le app di autenticazione sono ancora vulnerabili ad alcuni tipi di attacchi “nemico nel mezzo”, ma sono comunque più sicure degli SMS, ha affermato Allan.
Con un’app di autenticazione, gli utenti ricevono un codice univoco ogni volta che accedono e il codice scade, in genere dopo 30-60 secondi. Non viene inviato nulla al numero di telefono. L’app di autenticazione è sul tuo dispositivo mobile, quindi se il telefono è protetto da password e abiliti il riconoscimento facciale, ciò riduce notevolmente il rischio che qualcuno possa accedere a tali codici, ha affermato Kitten.
Esistono ancora potenziali vulnerabilità che dipendono dalla necessità di inserire codice, afferma Cédric Thevenet, vicepresidente e responsabile delle vendite e delle soluzioni informatiche di Capgemini Americas. Ad esempio, supponiamo che qualcuno riceva un’e-mail che sembra provenire da un’azienda o da un fornitore con cui ha a che fare abitualmente, ma che in realtà è un tentativo di phishing ben mascherato. Grazie all’intelligenza artificiale, questi tipi di email di phishing sono diventati più difficili da individuare, spiega Thevenet.
Se un utente disattento fa clic sul collegamento, potrebbe indirizzarlo a un sito Web che sembra legittimo, ma non lo è. La persona inserisce il proprio nome utente e password nel sito Web dell’hacker, pensando che sia il sito Web del fornitore di servizi, quindi, quando gli viene richiesto il codice di autenticazione, lo digita anche lui. Ora, come ha spiegato Thevenet, l’hacker ha accesso all’account della persona.
Valuta la possibilità di pagare le app mobili per una migliore protezione
Esiste un’opzione di autenticazione più sicura che funziona insieme alle app mobili sul telefono dell’utente. Quando gli utenti accedono al sito web della propria banca o di un altro tipo di fornitore di servizi, ricevono una notifica nell’app corrispondente sul proprio telefono che chiede loro di verificare la propria identità con questa notifica.
Questo metodo di verifica è indipendente dal dispositivo da cui si accede ed è migliore degli SMS o delle password monouso per l’autenticazione, ma esistono attacchi che possono funzionare anche contro questo metodo, ha affermato Alan. Un hacker può tentare ripetutamente di accedere all’account di qualcuno utilizzando una password rubata e l’utente riceverà più messaggi sul proprio telefono per la verifica. Se la persona non presta molta attenzione o vuole semplicemente smettere di infastidire, può fare clic per verificare e quindi consentire all’hacker l’accesso all’account.
Scegli una chiave di sicurezza hardware quando possibile
Un’opzione migliore è utilizzare una chiave di sicurezza fisica come Yubico. Una chiave può essere utilizzata con più applicazioni e servizi. Dal punto di vista della sicurezza, è meglio degli SMS o di un’app di autenticazione, ha affermato Alan. Ma c’è un investimento. Una chiave può costare dai 20 ai 60 dollari o più e le persone devono stare attente a non perderla.
Anche questo non è pratico in tutte le situazioni. Il rivenditore online non fornirà la chiave a ciascuno dei suoi clienti per ragioni di costo e praticità, ha affermato Thevenet.
Rimuovi le password dall’equazione con passkey multi-dispositivo
Sebbene l’utilizzo di passkey multi-dispositivo, che sostituiscono la necessità di password, non sia necessariamente un sostituto di una password monouso, rende più difficile per un utente malintenzionato penetrare nei tuoi account. Le passkey sono costituite da una “chiave privata” memorizzata sul computer o sul telefono dell’utente e da una crittografia a chiave pubblica, secondo la FIDO Alliance, un consorzio aperto focalizzato sulla riduzione della dipendenza del mondo dalle password.
Oltre a eliminare alcuni degli inconvenienti legati alle password, le passkey proteggono gli utenti dagli attacchi di phishing perché funzionano solo su siti Web e app con cui sono registrati. Ci sono alcuni problemi di sicurezza, ma come minimo “rimuove le password dall’equazione, rendendo così più difficile per un utente malintenzionato iniziare”, ha detto Allan.
Da un punto di vista normativo, le passkey potrebbero non essere qualificate come autenticazione a più fattori, ma potrebbero essere più sicure rispetto all’utilizzo di password e SMS, ha affermato Allan.
Aspettatevi che le SMS One-Time Password (OTP) siano ancora in uso e c’è il rischio
Esiste un’ampia gamma di opzioni a disposizione degli utenti per gestire gli accessi online con una maggiore attenzione alla sicurezza, compresi i gestori di password, ma tutte comportano rischi e, in una certa misura, i consumatori sono limitati ai metodi di autenticazione offerti da diversi fornitori.
L’amministratore delegato di Protiviti Dusty Anderson, che guida la pratica dell’identità digitale dell’azienda, afferma che uno dei suoi clienti spende decine di migliaia di dollari al mese inviando password monouso tramite SMS. Nonostante le preoccupazioni relative alla sicurezza, il cliente mantiene la propria posizione perché ha paura di causare problemi, soprattutto con i clienti che non hanno familiarità con la tecnologia e potrebbero essere riluttanti a utilizzare un altro tipo di strumento di autenticazione.
Per altri motivi, Thevenet ha affermato che le password temporanee probabilmente rimarranno disponibili in qualche forma per il prossimo futuro. Thevenet ha aggiunto che le opzioni più popolari sono economiche e facili da usare e, nonostante alcuni rischi, questi metodi sono comunque migliori della semplice password. “L’invio di una password temporanea via SMS è la soluzione migliore in assoluto? No. È meglio di una semplice password Sì.”
