Apple ha davvero imposto l’uso dell’autenticazione a due fattori (2FA) per gli utenti beta di macOS High Sierra iOS 11?
In breve la risposta è no. Apple non ha reso obbligatoria la 2FA per tutti, ma è possibile capire perché gli utenti beta che utilizzano già la vecchia tecnologia di verifica in due passaggi (2SV) potrebbero aver frainteso una email recente ricevuta dall’azienda:
Se installi le beta pubbliche di iOS 11 o macOS High Sierra quest’estate e soddisfi i requisiti di base, il tuo ID Apple verrà automaticamente aggiornato per utilizzare l’autenticazione a due fattori.
Questo significa semplicemente che le persone che già utilizzano la 2SV (Verifica a 2 passaggi) verranno aggiornate per utilizzare la 2FA mentre coloro che non hanno mai usato la 2SV rimarranno come sono.
Senza dubbio, a molti utenti non saranno chiari ai vantaggi dell’essere aggiornati dalla 2SV alla nuova 2FA, quindi facciamo chiarezza.
La verifica in due passaggi è disponibile per gli ID Apple e iCloud dal 2013, mentre l’autenticazione a due fattori è stata rilasciata nel 2015 per tutti gli utenti che eseguono OS X El Capitan o iOS 9 o successivi. Apple non dice quanti suoi utenti la utilizzano, ma sarà sicuramente una piccola minoranza.
La nota 2SV di Apple fondamentalmente presenta lo stesso tipo di sicurezza di autenticazione offerta da servizi web come Google, Twitter, PayPal e Facebook e coinvolge l’utente che registra un numero di telefono e uno o più dispositivi, riceve un codice univoco e lo inserisce insieme alla password del servizio Apple.
Questo progetto è vulnerabile agli attacchi man-in-the-middle e alle frodi SIM-swap, motivo per cui Apple vuole spostare gli utenti verso l’autenticazione a due fattori, se possibile.
Oltre a inviare agli utenti codici SMS nello stile della 2SV (per una maggiore sicurezza, a tutti i dispositivi registrati), questa può anche generare un proprio codice non in linea utilizzando un’applicazione integrata. Suona davvero molto simile all’app Authenticator di Google, tranne che per il fatto che è più strettamente integrato con il sistema operativo stesso.
Un’interpretazione di questo passaggio è che Apple sta, in effetti, trasformando ogni dispositivo Apple in un token hardware in grado di generare codici non in linea.
Si tratta probabilmente di un’esagerazione perché un vero e proprio token di autenticazione a due fattori è sempre un oggetto dedicato (ad esempio, YubiKey o RSA SecurID) che non può essere scritto. Tutto quello che i veri token fanno è generare codici per dimostrare che sono posseduti dall’utente, mentre la tecnologia di Apple emula questo design utilizzando un software.
Google probabilmente integrerà Authenticator anche in Android, ma le sue ambizioni sono quello di sviluppare un sistema di autenticazione per tutto il web. Al contrario, Apple è focalizzata esclusivamente sui propri utenti, il che le rende la vita un po’ più facile.
Ciò che Apple deve ancora fare è quello di far sì che gli utenti cominciano a pensare all’autenticazione per difendersi da una serie di attacchi, inclusi i recenti attacchi ransomware su iCloud.
A un certo punto questo livello diventerà obbligatorio, semplicemente perché ha senso fare le cose in questo modo. Quel momento non è arrivato, ma la direzione è chiara – gli utenti di Apple dovrebbero prepararsi aggiornando ora.
*Ispirato all’articolo Apple to auto-update devices to two-factor authentication su Naked Security
Lascia un commento