I vecchi numeri di cellulare possono compromettere i sistemi MFA non sicuri
L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza agli accessi ed è fondamentale per prevenire accessi indesiderati. Questo processo di verifica utilizza un secondo dispositivo di proprietà dell'utente come ulteriore elemento di verifica dell'identità: il dispositivo in questione riceve un token (talvolta generato dal sistema stesso) che certifica la veridicità dell'accesso. I sistemi MFA più sicuri si avvalgono di applicazioni per generare codici temporanei, ma molti si basano ancora sull'invio di SMS ai cellulari (OTP). Il problema è che questo metodo non sempre è efficace e può mettere a rischio la sicurezza dell'utente. Cosa succede quando il tuo vecchio numero di cellulare finisce in mano a terzi? Un recente studio ha affrontato questo problema, evidenziando i rischi derivanti dal riutilizzare i vecchi numeri di cellulare.
Generalmente gli utenti non cambiano il proprio numero di cellulare con uno nuovo, ma questa eventualità può verificarsi quando un operatore di telefonia mobile propone un'offerta vantaggiosa destinata ai nuovi utenti. I proprietari possono inoltre prendersi del tempo per comunicare il nuovo numero da utilizzare per l'MFA. In questi casi, gli operatori "riciclano" i vecchi numeri di telefono, che finiscono così nelle mani di altri utenti. Questo non costituisce un problema fintanto che i numeri non sono associati all'MFA. L'Università di Princeton ha pubblicato uno studio che mette in guardia dai rischi derivanti dal riutilizzare i numeri di telefono negli Stati Uniti, pratica assai comune tra gli operatori di telefonia mobile.
I vecchi numeri di cellulare, una via di accesso per i criminali informatici
I dati emersi da questo studio sono a dir poco allarmanti: oltre il 66% dei numeri riutilizzati che sono stati esaminati era ancora collegato tramite MFA ai proprietari precedenti. In questi casi, possono sorgere due problemi fondamentali per il proprietario precedente: innanzitutto, il nuovo proprietario della linea mobile potrebbe accedere al suo account usando l'autenticazione a più fattori; in secondo luogo, se il proprietario precedente dimenticasse la sua password non avrebbe modo di recuperarla (e non potrebbe accedere da un nuovo dispositivo).
Per dimostrare la gravità del problema, lo studio menziona il caso del proprietario di un numero riutilizzato, che ha iniziato a ricevere SMS relativi a una visita medica del proprietario precedente. Considerando che l'MFA può essere applicata anche ai servizi bancari, all'archiviazione dei dati e ai servizi di archiviazione foto su cloud, il danno a cui si va incontro se il proprio numero finisce in mani sbagliate è evidente. Perché allora gli operatori riutilizzano i numeri di telefono? Non è altro che un problema di disponibilità: i numeri si esauriscono e gli operatori non possono fare altro che riutilizzarli.
Garantisci la sicurezza degli utenti con una MFA non associata a un numero di telefono
Oltre a conoscere i rischi di dimenticare i link dell'MFA per il tuo vecchio numero di cellulare quando cambi numero, è necessario proteggere i cellulari aziendali facendo in modo che non dipendano esclusivamente dall'invio di un token a un numero di telefono. In questo caso, la cosa più sicura da fare è collegare l'autenticazione dell'utente al cellulare stesso e non alla linea telefonica. In altre parole, si consiglia di verificare l'autenticità dell'utente utilizzando il DNA del cellulare, in modo tale che il token non possa essere ripetuto sullo stesso dispositivo.
WatchGuard AuthPoint offre le funzionalità di sicurezza e tutti gli elementi necessari ai provider di servizi gestiti (MSP) per garantire ai clienti aziendali che si affidano alle loro soluzioni una protezione ottimale dei dispositivi mobili. Questo strumento sofisticato basa l'MFA sul DNA del telefono e garantisce che ogni dispositivo abbia una firma unica e irripetibile che non può essere replicata su un altro telefono e non dipende dal numero di telefono. Viene gestito direttamente dal cloud, dove è possibile gestire anche gli alert di accesso e i token generati. WatchGuard AuthPoint garantisce accessi sicuri senza il bisogno di gestire i token perché l'autenticazione può essere eseguita attraverso l'app mobile.