La verifica tramite SMS rappresenta una modalità semplice e immediata per confermare l'identità di un utente che tenta di accedere a un account. Quando si effettua il login, viene inviato un messaggio di testo contenente un codice breve al numero di telefono associato. L'utente deve quindi digitare questo codice per completare la verifica.
In questo articolo
Rischi associati alla verifica SMS
SMS non criptati e vulnerabili a intercettazioni
La verifica tramite SMS si basa generalmente su una sequenza numerica breve, solitamente composta da sei cifre. Questo codice è utilizzato per confermare l'accesso a conti inattivi o per azioni come il ripristino della password o dell'email. Sebbene questa metodologia offra una maggiore sicurezza rispetto all'utilizzo esclusivo di una password, esistono diverse modalità attraverso cui un hacker può accedere a tale codice.
Gli SMS non sono criptati
Un modo comune per gli hacker di leggere i messaggi SMS consiste nell'installazione di malware sul dispositivo dell'utente. Poiché gli SMS non sono criptati, il malware può essere programmato per monitorare i messaggi e inviarli all'hacker.
- 8 milioni di dispositivi infettati da app malevole nel dicembre 2024
- Malware di phishing vocale che ha compromesso dispositivi nel novembre 2024
- Vulnerabilità nei chip Qualcomm che ha colpito Android nel ottobre 2024
Possibilità di intercettazione degli SMS
I messaggi SMS possono essere intercettati durante il loro passaggio verso il dispositivo destinatario, anche se quest'ultimo non è infetto da malware.
Il centro servizi messaggi (SMSC) è vulnerabile agli hacker
Il centro servizi messaggi (SMSC) funge da intermediario tra mittente e destinatario degli SMS. Un attaccante con accesso al SMSC potrebbe leggere tutti i messaggi memorizzati, modificandoli e dando vita a truffe phishing.
Perché la verifica con QR code dovrebbe diventare lo standard
I QR code presentano meno vulnerabilità rispetto agli SMS
La verifica mediante QR code è semplice: quando si cerca di accedere a un servizio, viene visualizzato un QR code sullo schermo. Scansionando questo codice con il proprio dispositivo si ottiene l'autenticazione necessaria senza alcun invio di codici via sms.
L'autenticazione tramite QR code è ancora suscettibile a truffe phishing
Gli hacker possono fornire codici QR falsi che rimandano a siti web ingannevoli simili agli originali. Secondo un rapporto della Abnormal Security, questi codici vengono spesso inviati via email con tassi di successo preoccupanti.
Nonostante le problematiche, la verifica tramite QR code rappresenta un progresso significativo nella sicurezza digitale
A differenza della Gmail, Discord ha già implementato da tempo l'autenticazione tramite QR code. L'introduzione della stessa tecnologia da parte di Gmail potrebbe incentivare altre aziende ad adottarla come metodo principale per la due fattori autenticazione più sicura.
Scopri di più da Chromebook Observer
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.