The Verge riporta che è stato individuato un sistema per compromettere il meccanismo di sicurezza dell’ID Apple e che la password di quest’ultimo può essere resettata conoscendo l’indirizzo e-mail e la data di nascita di un utente. Gli utenti che (negli USA e altri paesi dove è stato attivato il sistema) hanno attivato la verifica in due passaggi sugli account sono al sicuro. La falla (per la quale The Verge afferma esistere un tutorial nel quale sono dettagliati i passaggi punto dopo punto), consiste nell’incollare un URL modificato su iForgot (il sito che permette di ripristinare le password dell’ID Apple) e rispondere a una sola domanda di sicurezza riguardante la data di nascita dell’utente. Per motivi di sicurezza The Verge non ha svelato altri dettagli. Apple sta probabilmente già lavorando sul problema: nel momento in cui scriviamo il sito iForgot è “in manutenzione”.
Il meccanismo di verifica in due passaggi introdotto da Apple ieri (ma non in tutti i paesi) semplifica e aumenta notevolmente la sicurezza: una volta attivato, il sistema chiederà un codice di sicurezza a 4 cifre, oltre alla password, ogni volta che accediamo a un account o autorizziamo un nuovo computer, telefono o tablet. Il codice di sicurezza è spedito via SMS o recuperato tramite l’app Trova il Mio iPhone se questa è installata nel dispositivo. Tra i vantaggi della verifica a due passaggi: non è necessario ricordare la risposta a domande di sicurezza, la possibilità per il solo utente di resettare la password, la possibilità in caso si dimentichi quest’ultima di reimpostarla con un dispositivo verificato e con la propria Recovery Key (una chiave a 14 cifre da stampare e conservare in luogo sicuro). Se perdiamo un dispositivo, oppure non riusciamo a ricevere o a generare un codice di sicurezza, sarà necessario avere la Recovery Key di backup per l’accesso di emergenza all’account.
Aggiornamento: Apple ha risolto la falla e il sito iForgot è tornato di nuovo online.
[A cura di Mauro Notarianni]