Il nuovo sistema di password su richiesta di Yahoo non sostituisce l'autenticazione a due fattori

Nel tentativo di semplificare l'autenticazione per i suoi servizi, Yahoo ha introdotto un nuovo meccanismo che consente agli utenti di accedere con password temporanee inviate ai loro telefoni cellulari.

Se questo suona come un sistema di autenticazione a due fattori in cui gli utenti devono fornire codici una tantum inviati ai loro telefoni cellulari oltre alle loro password statiche, non lo è. Yahoo aveva già questa opzione.

Invece, il nuovo meccanismo di accesso, basato su ciò che Yahoo chiama password su richiesta, si basa ancora su un singolo fattore, il numero di telefono dell'utente.

Gli utenti di Yahoo, solo quelli con sede negli Stati Uniti per ora, possono attivare la nuova funzionalità dalle impostazioni di sicurezza dell'account sul sito di Yahoo. Dovranno fornire un numero di telefono e quindi confermare di avervi accesso inserendo un codice di verifica inviato loro via SMS.

Una volta impostato il sistema, la prossima volta che vorranno accedere, gli utenti Yahoo vedranno un pulsante che dice "invia la mia password" invece di un tradizionale campo di immissione della password. Fare clic su quel pulsante invierà loro una password temporanea di quattro caratteri tramite SMS.

Il nuovo sistema offre una sicurezza migliore rispetto alle password statiche, che possono essere rubate in vari modi, ma non è efficace come l'autenticazione a due fattori perché dipende esclusivamente dalla sicurezza del telefono dell'utente.

"L'autenticazione a due fattori è più sicura perché richiede che un utente malintenzionato comprometta più di una singola informazione per avere successo", ha affermato Tim Erlin, direttore della gestione dei prodotti della società di sicurezza Tripwire, via e-mail. "Mentre Yahoo sta sollevando l'onere di ricordare una password, sta mantenendo un unico obiettivo di compromesso: i tuoi messaggi SMS. I malware sul telefono potrebbero essere utilizzati per catturare quei messaggi SMS e quindi avere pieno accesso al tuo account. "

La capacità di intercettare, rubare e nascondere i messaggi di testo è comune per i malware mobili, in particolare per le minacce che colpiscono gli utenti di servizi bancari online che spesso ricevono transazioni e altri codici di autorizzazione tramite SMS.

Inoltre, se un telefono viene smarrito o lasciato incustodito, potrebbe essere utilizzato per generare una password per l'account e-mail Yahoo del proprietario del telefono. Come hanno dimostrato molti incidenti, l'account e-mail di una persona può essere un gateway per ulteriori compromessi, poiché può essere utilizzato per reimpostare la password per gli account dell'utente su altri siti Web.

I creatori di malware prenderanno sempre più di mira le piattaforme mobili a causa dell'importante ruolo che svolgono per la sicurezza online degli utenti, ha affermato TK Keanini, CTO presso la società di sicurezza Lancope, via e-mail. "Al giorno d'oggi è anche importante garantire che l'account mobile sia sicuro perché non si desidera che gli aggressori cambino funzionalità come l'inoltro di chiamate e altre funzionalità che possono metterli al centro di questo flusso di comunicazione".

I ricercatori hanno avvertito per anni che le password statiche non forniscono più una protezione sufficiente per gli account online, quindi qualsiasi sforzo per sostituirli con qualcos'altro è generalmente il benvenuto.

Resta da vedere quanto sia vulnerabile il nuovo sistema di Yahoo, "ma può solo essere una buona cosa che un noto marchio nel campo della tecnologia stia cercando diversi modi per rinnovare la password", ha affermato Chris Boyd, analista di malware intelligence presso Malwarebytes, via e-mail.

Con una scelta, tuttavia, Boyd sceglierebbe comunque l'autenticazione a due fattori piuttosto che a un fattore in qualsiasi momento.

Quindi, se hai già attivato la "verifica in due passaggi" sul tuo account Yahoo, è meglio attenersi a esso e non passare al nuovo sistema di "password su richiesta". I due sembrano essere incompatibili e il passaggio a password su richiesta potrebbe effettivamente ridurre la sicurezza del tuo account, secondo Erlin.

Anche con i potenziali svantaggi, "è bello vedere Yahoo cercare di risolvere il problema della password", ha detto via email Jared DeMott, principale ricercatore di sicurezza presso Bromium. Tuttavia, la maggior parte degli utenti farà solo ciò che è richiesto per impostazione predefinita, "quindi se le aziende si impegnano a migliorare la sicurezza dell'accesso, la scelta predefinita dovrà essere modificata".

Per ora, il nuovo sistema di password su richiesta di Yahoo richiede agli utenti di opt-in.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.