SMS e autenticazione a due fattori: cosa dovrebbe sapere ogni azienda

Man mano che i criminali diventano più diligenti nei loro sforzi per penetrare le difese degli utenti, le aziende devono diventare più attive nel mantenere l'integrità dei propri dati.

I clienti, più abituati a inviare un'e-mail come se fosse per posta, potrebbero reagire a disagio a eventuali passaggi aggiuntivi richiesti. Fortunatamente, i clienti stanno diventando sempre più informati e il processo sta diventando più semplice.

L'obiettivo è rendere l'identificazione a due fattori il più semplice possibile per gli utenti finali, garantendo allo stesso tempo che sia difficile per i malfattori aggirarla.

Suona formidabile? Rilassare! L'autenticazione a due fattori ( 2FA ) si è evoluta per combattere quei truffatori intelligenti.

Come funziona?

2FA aggiunge un ulteriore livello ai protocolli di autenticazione. Può venire in molte forme. A volte è biometrico, e richiede che una voce, un'impronta digitale, una scansione della retina o qualche altro oggetto unico facciano parte del mix.

Questi richiedono un'ampia conservazione dei registri e archiviazione PII (informazioni di identificazione personale), che possono aumentare significativamente le spese generali, oltre a causare ulteriori problemi di sicurezza in caso di compromissione dell'archiviazione.

Tuttavia, sebbene tali tecniche siano possibili, nella maggior parte dei casi non sono pratiche. Invece, istituzioni come le banche emettono carte d'identità univoche per (ad esempio) azionare uno sportello automatico (ATM). Tali carte sono inutili senza il PIN (numero di identificazione personale).

Questa sicurezza si basa sull'avere un elemento specifico e sulla sua combinazione con un particolare pezzo di conoscenza. Le carte bancarie possono andare perse quando un portafoglio viene rubato o smarrito, ma le carte stesse sono inutili senza il PIN.

L'autenticazione a due fattori aumenta il tradizionale paradigma "nome utente" e "password".

Vantaggi dell'autenticazione a due fattori

Bande organizzate, o anche criminali solitari, hanno trovato strategie per indurre persone altrimenti intelligenti a prendere decisioni sorprendentemente sbagliate come garantire un accesso sicuro a estranei o condividere password.

2FA tramite SMS rende il processo sufficientemente difficile per i criminali che, in generale, la maggior parte di noi è troppo poco interessante per attirare l'attenzione.

Eliminare un passo

L' IoT , o Internet of Things, è stato un grande vantaggio per l'umanità (oltre che una rovina, in alcuni casi). Significa che sono attualmente in uso 5 miliardi di smartphone più innumerevoli altri dispositivi in ​​grado di ricevere messaggi SMS.

Secondo le stime attuali, 21/2 miliardi di terrestri trasportano almeno uno smartphone (a parte tutti gli altri nostri dispositivi).

È con noi quasi sempre, a portata di mano, e ne siamo diventati abbastanza dipendenti.

I servizi 2FA non devono rilasciare strumenti di identificazione discreti; né devono memorizzare informazioni non necessarie sugli individui.

Possiamo ancora avere nomi e password, ma ora, dopo esserci così identificati, il servizio può utilizzare l'autenticazione SMS per inviarci un sms con un PIN temporaneo che scade tra uno o due minuti.

Ora sai qualcosa (nome e password) e hai qualcosa (il tuo telefono), quindi puoi procedere. Cosa potrebbe essere più facile?

Spaventa via, i clienti lo useranno

Alcune aziende pensano che i clienti si ribelleranno e porteranno i loro affari altrove. A riprova, spesso indicano il fatto che solo il 10% degli utenti di Gmail attiva la 2FA o, più in particolare, il 90% no .

Sebbene l'utilizzo della 2FA sia senza dubbio una buona idea, è necessario essere consapevoli del paradigma che è all'opera qui. Le persone utilizzano spesso una società di sicurezza o un servizio di posta elettronica ISP privato per la posta "importante" e Gmail per assorbire lo SPAM e fornire comunicazioni con siti Web non affidabili.

Coloro che lo usano per "tutto" tendono a prestare maggiore attenzione; per il resto, non vale lo sforzo extra.

I clienti ora richiedono 2FA per le transazioni finanziarie

Quando si tratta di movimentare denaro , invece, i clienti tendono ad essere molto più particolari e ad approfittare di misure di sicurezza aggiuntive.

Se non offri servizi di autenticazione SMS, passeranno a un altro provider. Siti web popolari come Amazon, LinkedIn, PayPal e DropBox richiedono 2FA per le transazioni finanziarie da dispositivi sconosciuti o per lo scambio di PII.

Per comodità, troverai spesso piccole caselle di controllo che dicono "Fidati di questo dispositivo", il che significa che le transazioni future tramite quel dispositivo sono automaticamente attendibili.

Se prendi in prestito il tablet di un amico per accedere al tuo conto bancario, ti verrà richiesto di ottenere un codice di autenticazione una tantum e limitato nel tempo, ma sul tuo dispositivo registrato sarà semplicemente una questione di utilizzare la tua password e nome abituali.

Alcuni siti richiedono di certificare un dispositivo una sola volta; altri mensilmente o annualmente. I siti ad alta sicurezza richiedono 2FA ad ogni singolo accesso.

Sfide dell'autenticazione a due fattori

2FA non è una panacea perché hacker esperti possono eseguire intercettazioni SMS e inoltro di chiamata istantaneo, tutto questo per inviare il codice risultante altrove.

Tuttavia, "Niente panico!", come ci consigliò una volta Douglas Noel Adams. Ci vuole un'enorme quantità di lavoro e di solito è limitato ai dipendenti disonesti all'interno di un fornitore di servizi GSM, per creare queste opportunità di sfruttamento.

Quando c'è un guadagno significativo da ottenere, i truffatori sono disposti a spendere più sforzi.

Coloro che trasferiscono decine di migliaia o milioni (o, nel caso delle celebrità, tutte le loro foto di nudo) devono prendere ulteriori precauzioni, ma ciò non riguarda la maggioranza della popolazione.

Alcuni sistemi sono intrinsecamente deboli o sorvegliati da rappresentanti del servizio clienti che sono troppo ansiosi di reimpostare le password. Probabilmente è meglio restare con aziende rispettabili che utilizzano un servizio di marca.

Naturalmente, la 2FA può essere problematica per le persone che si sentono obbligate a procurarsi un nuovo smartphone ogni anno. Devono aggiornare tutti i loro account, identificando il nuovo dispositivo (aggiungendo nuove ed eliminando le vecchie autorizzazioni), prima di potervi accedere senza problemi. Questo è il costo di avere sempre la tecnologia più recente...

Altri strumenti per 2FA

Potresti pensare che ci siano strumenti migliori da avere. Esistono strumenti per app, come Google Authenticator (vedi un esempio di test funzionante qui), che sono a prova di "intercettazione SMS" o, se sei un fan di Apple, notifiche PUSH che non utilizzano nemmeno il sistema SMS.

Puoi usare qualcosa del genere se ti piace. Negli ambienti ad alta sicurezza esistono strumenti ancora più potenti e vengono utilizzati frequentemente quando necessario.

Potresti aver sentito parlare di un dispositivo portachiavi simile a USB che genera una password casuale su richiesta, ad esempio. Questo è utile per un'organizzazione ma molto meno per trattare con migliaia di membri del pubblico in generale.

L'asporto

Tutti questi sono ottimi sistemi e superano qualsiasi debolezza percepita della 2FA basata su SMS. La verità, tuttavia, è che dette debolezze sono minori e non necessariamente intrinseche. La colpa è quasi sempre dell'attuazione dei protocolli da parte delle singole società di comunicazione.

Questi difetti diventeranno accademici nel tempo man mano che ci muoviamo verso l'eliminazione delle vulnerabilità nei protocolli sfruttati come SS7 (usati per abilitare il roaming su diverse reti telefoniche).

Gli SMS sono un'opzione eccellente perché le persone lo capiscono già molto bene, sono onnipresenti e complicano la vita degli hacker.

Proteggi te stesso e i tuoi clienti, come abbiamo fatto per Cloud Data Service, un'agenzia di sviluppo software e web che si affida alla sicurezza SMS 2FA per assicurarsi che le informazioni dei suoi clienti rimangano private.

Se desideri un canale di comunicazione affidabile e sicuro per i tuoi clienti, connettiti con uno dei nostri esperti di TextMagic tramite il nostro modulo di contatto online o registrati per una prova gratuita, così potrai vedere come funziona da solo!