Apple e Google vogliono rendere l’autenticazione a due fattori uno standard

Apple e Google si sono riunite per migliorare il sistema di autenticazione a due fattori. La volontà delle due aziende è infatti quella di rendere questa procedura uno standard e dunque di aumentare la sicurezza nel mondo del web.

A lanciare la proposta è stata la stessa Apple che quasi immediatamente ha ottenuto l’appoggio del colosso di Mountain View. L’autenticazione a due fattori è quella usata dalle principali applicazioni di Home Banking ma attivabile anche per il login su molte applicazioni e servizi. Da Facebook a Gmail, passando per YouTube, ormai quasi tutti i sistemi integrano questo metodo di login, che consiste nel ricevere una One Time Password, OTP, da usare subito dopo aver eseguito l’accesso con username e password. Il messaggio viene ricevuto tramite SMS o e-mail sul proprio dispositivo, sia che si tratti di uno smartphone Android come Galaxy S20 o Redmi Note 8 Pro, sia che si tratti di un iPhone.

L’autenticazione a due fattori consiste nel ricevere un SMS o una mail con un codice univoco, da inserire oltre alla propria password.

Tuttavia, il format del messaggio ricevuto non è ancora diventato uno standard e le due aziende hanno proposto di definirne uno per semplificare il riconoscimento del testo sia agli utenti sia alle varie applicazioni.

Il nuovo formato consisterebbe in una stringa suddivisa in due parti che conterrebbero le medesime informazioni:

234252 è il tuo codice di autenticazione [nome sito web]

@nomesitoweb.com #234252

La prima parte permetterebbe il riconoscimento del mittente da parte dell’utente, la seconda consentirebbe all’applicazione o al sito web di rilevare automaticamente il codice OTP per la compilazione automatica. In questo modo ci sarebbe un unico modo di comunicare la password temporanea, più comprensibile per tutti.

Questa soluzione però sarebbe solo parziale secondo i più esperti in quanto seppur vero che limita il rischio che il codice monouso possa venir rilevato da applicazioni fraudolente e quindi usato per rubare dati anche importanti, non riduce il rischio che il messaggio possa essere intercettato o che la SIM venga clonata.