I messaggi di testo, o SMS, stanno diventando sempre più obsoleti come metodo di autenticazione degli utenti. Ma non solo, la pratica di utilizzare gli SMS come meccanismo di autenticazione è estremamente insicura e sconsigliata. Questo è il punto chiave su cui verte l’attenzione di esperti e autorità da tempo. A tal proposito, vogliamo fare il punto della situazione e approfondire i motivi per cui l’uso degli SMS per l’autenticazione è così fortemente sconsigliato.
PERCHÉ L’USO DEGLI SMS COME MECCANISMO DI AUTENTICAZIONE È FORTEMENTE SCONSIGLIATO
Gli SMS come sistema di autenticazione vengono considerati una pratica estremamente insicura. Questo deriva dal fatto che esistono vari rischi legati all’uso degli SMS per la verifica dei dati personali. Tra questi c’è la possibilità che i messaggi di testo e le chiamate vengano dirottati verso SIM diverse da quelle dei legittimi proprietari. Questo scenario è reso ancora più preoccupante dalla connivenza di dipendenti infedeli che lavorano per piccoli operatori di telecomunicazioni in stati sovrani liberi da legami con altri Paesi.
Sicuramente, l’obiettivo principale del dirottamento di SMS e chiamate è quello di acquisire il controllo su una numerazione altrui, ma ciò mette a rischio sia la Sicurezza degli utenti che la loro privacy. La possibilità di attacchi di tipo SIM swap è purtroppo ancora elevata, nonostante siano in atto sforzi delle autorità per contrastare questo fenomeno. Tuttavia, le nuove regole sulla portabilità del numero e cambio SIM mirano a ridurre la possibilità che tali attacchi vadano effettivamente in porto.
GLI SMS SONO COME CARTOLINE POSTALI: CHIUNQUE PUÒ LEGGERNE IL CONTENUTO
Un altro aspetto da considerare è la vulnerabilità degli SMS ad aggressioni di tipo MITM (man-in-the-middle). In sostanza, gli SMS sono come le vecchie cartoline postali: facilmente intercettabili con un attacco SIM swap e vulnerabili a diverse tipologie di attacchi informatici.
Le criticità legate agli SMS come meccanismo di autenticazione portano a una riflessione sulle azioni che le aziende dovrebbero intraprendere per garantire la sicurezza dei propri utenti. Il consiglio principale è quello di non consentire l’accesso agli account o la reimpostazione delle password tramite SMS. Inoltre, è necessario proporre alternative sicure, come l’utilizzo di chiavette FIDO2, autenticazioni biometriche, o l’uso di App che generano password a breve scadenza o codici OTP.
In Europa, grazie all’iniziativa SIM Verify, le aziende possono verificare se una SIM sia stata trasferita di recente. Questo rappresenta certamente un passo avanti, ma ancora non risolve il problema alla radice. È quindi necessario un approccio più deciso da parte delle aziende, abbandonando la pratica insensata di utilizzare gli SMS come meccanismo di autenticazione, a favore di soluzioni più sicure per proteggere l’Identità Digitale degli utenti.
In conclusione, la pratica di utilizzare gli SMS come meccanismo di autenticazione è considerata pericolosa e sconsiderata. Le aziende devono prendere posizione e adottare soluzioni più sicure per garantire la sicurezza dei propri utenti. E’ un passo fondamentale verso un approccio più responsabile e orientato alla protezione della privacy e della sicurezza degli utenti online.