Preparatevi a dire addio alla pratica e veloce verifica SMS fino a oggi ampiamente impiegata per l’autenticazione a doppio fattore degli utenti. Con una nuova proposta da poco pubblicata il National Institute for Standards and Technology, siglato NIST, stabilisce che l’autenticazione a doppio fattore non può essere effettuata inviando una verifica SMS verso un numero virtuale che appartiene a un servizio VoIP.
Questo perché le comunicazioni VoIP vengono considerate meno sicure e più facili da compromettere rispetto alle reti standard. In ogni caso la proposta del NITS prosegue precisando che la verifica SMS, quindi via smartphone e cellulari, è disapprovata e che non verrà più ammessa in future versioni delle linee guida.
Non è legge ma tutti obbediscono
Occorre rilevare che le disposizioni del NIST, segnalate da Cnet, non hanno valenza di legge, in ogni caso tutte le principali società statunitensi impegnate in campo informatico e tecnologico tendono ad adeguarsi anche piuttosto rapidamente alle linee guida. Al momento la proposta del NIST deve ancora essere discussa e approvata, ma già si prevede che almeno in USA non manca molto all’abbandono della verifica SMS per l’autenticazione a doppio fattore.
Anche Apple sui propri dispositivi, così come moltissimi altri marchi e servizi online, si appoggiano da tempo alla verifica SMS per i propri utenti. Questo avviene per esempio per gli account Apple ID e per i servizi iCloud dove il codice di verifica, oltre che via SMS, può essere inviato via notifica push a un dispositivo sicuro (quindi un altro Mac, iPhone o iPad) oppure comunicato tramite una telefonata.
Tra le novità delle nuove proposte anche la possibilità di impiegare in modo limitato sistemi biometrici per accedere al secondo livello di autenticazione: se e quando entrerà in vigore Cupertino potrebbe ricorrere al rilevamento impronta tramite Touch ID per sostituire l’autenticazione tramite verifica SMS.