Sicurezza 13 Gen
Se nelle ultime settimane avete ricevuto un SMS contenente una password temporanea da Apple come parte di una procedura di autenticazione a due fattori, potreste esservi accorti che il contenuto del messaggio è leggermente diverso dal passato. Oltre al messaggio di testo e al codice in sé, in fondo si trovano alcune scritte aggiuntive come "@apple.com" o "%apple.com". Fa parte di una iniziativa volta a incrementare la sicurezza dell'autenticazione a due fattori - in particolare a proteggere l'utente da tentativi di phishing. Apple ha annunciato queste nuove specifiche come parte di iOS diverso tempo fa (i dettagli sono su GitHub), e ha iniziato a implementarle in prima persona da novembre 2021.
In concreto, ciò che cambia è il comportamento del completamento automatico. Quando si esegue una procedura di autenticazione a due fattori, il sistema operativo può copiare automaticamente il codice contenuto nell'SMS, per mostrarlo tra i suggerimenti rapidi della tastiera o in altre aree che, in ultimo, semplificano all'utente l'inserimento del codice nel form di conferma. Il nuovo formato implica che queste agevolazioni funzioneranno solo se il dominio specificato nell'SMS coincide con quello in cui l'utente sta navigando. Per usare l'esempio di sopra: il messaggio dice che la OTP (One-Time Password) è valida solo per apple.com, quindi se io sono su microsoft.com il codice non verrà suggerito.
Microsoft.com è un esempio assurdo, ovviamente, ma immaginiamo un tentativo di phishing un po' avanzato. Ci sono siti truffaldini che riescono ad aggirare anche la 2FA: quando l'utente immette sul sito falso le credenziali, questo prova immediatamente ad autenticarsi sul sito legittimo. A questo punto il sito originale invia all'utente l'SMS con il codice temporaneo di verifica. Il sito falso mostra la schermata di inserimento del codice. Qui entra in gioco la nuova misura di sicurezza: intanto, se l'SMS contiene il dominio da cui proviene e su cui è previsto l'uso è uno strumento in più a disposizione dell'utente per accorgersi del tranello; secondo, senza completamento automatico l'utente fa più fatica a completare la procedura, e magari tanto basta per far suonare un campanello d'allarme.
Tutti i fornitori legittimi di servizi in cui è prevista l'autenticazione a due fattori hanno quindi un vantaggio ad aggiornare al nuovo formato implementato da Apple (compatibile con iOS 15, iPadOS 15, macOS 11 Big Sur e successivi), perché altrimenti il completamento automatico non funziona più per nessuno. Per chiarire, l'utente non ha alcuna voce in capitolo nel processo: Apple ha implementato un nuovo standard e spetta ai fornitori dei servizi decidere se adeguarsi o meno.
Commenti