Si sa che non è possibile garantire la sicurezza di un account al cento per cento e quindi perché si dovrebbe fare lo sforzo di impostare un’autenticazione a due fattori? La risposta è a portata di mano: la verifica in due passaggi aggiunge al processo di identificazione un livello aggiuntivo, in un certo senso un secondo ostacolo che gli utenti non autorizzati devono riuscire a superare. Inoltre è da tenere in considerazione che quasi tutti i classici attacchi di phishing falliscono in presenza di un’autenticazione a due fattori.
Con il phishing i cybercriminali tentano di entrare in possesso di password, PIN o TAN tramite e-mail false con link a siti preparati prima. Le e-mail sembrano arrivare da servizi e-mail, banche e shop online autentici e invitano solitamente a cambiare un fattore di identificazione per presunti motivi di sicurezza. In realtà le password, i PIN o i TAN inseriti vengono spiati.
Proprio recentemente sono avvenuti degli attacchi hacker durante la campagna elettorale del nuovo presidente degli Stati Uniti. Nel 2016 sono state hackerate le caselle di posta di alcuni politici democratici, come quella del presidente della campagna di Hillary Clinton John Podesta e dell’ex segretario di Stato Colin Powell. Sono state così inviate delle e-mail false che provenivano apparentemente da Google e indicavano che un indirizzo IP sconosciuto originario dell’Ucraina avrebbe avuto accesso agli account gmail di questi politici. Cliccando sul link contenuto nell’e-mail si veniva reindirizzati a una pagina falsa e perciò è stato necessario cambiare subito la password. L’URL di questo sito è stato abbreviato e così nascosto, mentre il layout della pagina di Google è stato riprodotto.
Trucchi fraudolenti come questi riescono ad avere ancora successo: dei 108 membri della campagna di Clinton 20 hanno cliccato sul link e nel comitato nazionale del partito democratico lo hanno fatto 4 su 16. Se gli account di Google colpiti fossero stati protetti con un’autenticazione a due fattori, gli hacker non avrebbero potuto far niente con le password raccolte. Infatti in quel caso per andare a buon fine l’attacco sarebbe stato necessario inserire il secondo fattore, ovvero un codice di sicurezza unico che sarebbe stato inviato solo al cellulare della persona autorizzata.
Ma perché quindi questo procedimento non è ancora così diffuso? La configurazione della verifica in due passaggi su Google non è né particolarmente dispendiosa né così complicata o snervante. Non è necessario inserire il codice di sicurezza generato automaticamente ogni volta che si rieffettua il login, perché è possibile classificare permanentemente un dispositivo come sicuro. Il seguente video di Google spiega come funziona l’impostazione del procedimento: