Ormai, la verifica in due passaggi (2FA) è diventata il nuovo standard di riferimento per la sicurezza. La prima volta che l'ho incontrata è stato sul sito web della mia banca. All'epoca, da studente squattrinato, non capivo perché fosse importante. Sono ancora uno studente squattrinato, ma ora capisco perché un servizio di online banking richieda la verifica in due passaggi. Quello che ancora non capisco è perché il mio account Grammarly insista su di essa.
Verifica in due passaggi (2FA) È quello che succede quando inserisci nome utente e password e ti ritrovi sorpreso dal temuto messaggio: "Inserisci il codice inviato a [il tuo indirizzo email]". In teoria, si tratta di un ulteriore livello di sicurezza. Anche se qualcuno avesse le tue credenziali, avrebbe comunque bisogno di accedere alla tua email o al tuo telefono. Ma in pratica, la verifica in due passaggi rappresenta un problema più grande per l'utente che per l'hacker.
Link veloci
L'accesso è eccessivamente complicato.
Non dovresti controllare i freni prima di ogni viaggio.
In sostanza, lo scopo della verifica in due passaggi è rendere più difficile l'accesso, e sì, funziona, non solo per gli hacker, ma anche per me. Le probabilità che la persona che effettua l'accesso non sia io ma un hacker sono scarse, eppure sono io quello che viene punito con i salti mortali. Ora ho bisogno di almeno due finestre aperte per accedere da qualsiasi luogo. Prima, il sito web. Poi, la mia email, per ottenere il codice. Peggio ancora, se la verifica in due passaggi si basa sugli SMS, devo avere il telefono a portata di mano.
È lo stesso dilemma insito in qualsiasi misura di sicurezza. Puoi evitare che i freni della tua auto si rompano controllandoli prima di ogni viaggio. Ha senso: se non vuoi che i freni si rompano, se vuoi evitare incidenti e vivere più a lungo, dovresti controllare i freni della tua auto ogni volta. Ma nessuno lo fa perché non è pratico. Questo è ciò che accade con l'autenticazione a due fattori.
Usare una VPN peggiora le cose. Io ho quasi sempre una VPN attiva. Questo significa che l'ingenuo checkpoint della verifica in due passaggi è "...È lo stesso indirizzo IP?"Mi insegna quasi ogni volta. Usare una VPN distrugge costantemente il fattore privacy, ma senza, sono costretto a questo ciclo infinito di codici di riscatto. Quindi cosa si dovrebbe fare, oltre a controllare l'email o il telefono ogni volta che si vuole accedere?
falso senso di sicurezza
Le buone abitudini sono più importanti della continua convalida.
C'è ovviamente una differenza tra avere Buone abitudini per la sicurezza della posta elettronica Per non parlare dei passaggi obbligati ogni volta che si accede. Non hai bisogno di un controllo di qualità rigoroso se hai un buon sistema di garanzia della qualità. Se guidi già in modo responsabile e sostituisci regolarmente i freni, non hai bisogno di farli controllare prima di ogni viaggio; la stessa logica si applica anche qui.
Non riesco a contare il numero di volte in cui ho provato ad accedere al mio Account Google dal telefono, solo per ricevere una richiesta di verifica sul dispositivo stesso. Se qualcuno ha il mio telefono, è game over: non ha nemmeno bisogno della mia password. Un codice via email o SMS gli fornisce le chiavi. L'autenticazione a due fattori tramite SMS è ancora onnipresente, però. Lo scambio di SIM è una minaccia nota e attiva.L'autenticazione a due fattori tramite SMS è comoda, ma incredibilmente insicura. Nessun sito web può affermare seriamente di aver creato il tuo account. Più sicuro Aggiungendo l'autenticazione a due fattori tramite SMS.
Inaffidabile
L'autenticazione a due fattori si basa su metodi di trasmissione incerti.
Sebbene l'autenticazione a due fattori sia considerata un pilastro della sicurezza moderna, è tutt'altro che affidabile. Le mie esperienze con Google sono state positive, ma l'autenticazione a due fattori di Meta è incoerente e quella di Microsoft è decisamente pessima (ne parlerò più avanti). Se le grandi aziende tecnologiche non riescono a padroneggiare l'autenticazione a due fattori, che speranza c'è per le piccole imprese? E se si affidano a un servizio di terze parti, cosa succede quando quel servizio non funziona più? Perderemo improvvisamente l'accesso a decine di account contemporaneamente?
La settimana scorsa il mio fornitore di servizi ha avuto un'interruzione del servizio. Non sono riuscito ad accedere al mio pannello di controllo perché il codice SMS non è mai arrivato. Con l'autenticazione a due fattori basata su SMS, anche il minimo problema di rete può inghiottire completamente il messaggio.
I provider considerano l'autenticazione a due fattori come una rete di sicurezza opzionale, non una funzionalità fondamentale. Ciò significa che non si preoccupano di meccanismi di backup affidabili. Se ogni account basato su password ora richiede l'autenticazione a due fattori, perché il sistema non funziona in entrambi i sensi? Anche gli account configurati solo tramite telefono o e-mail dovrebbero richiedere una password di backup. Perché quando l'autenticazione a due fattori fallisce, e succede spesso, si è nei guai.
Disordine e privacy nella posta in arrivo
I token hanno costi nascosti.
Ogni tentativo di accesso si trasforma in un'e-mail o un altro SMS che non ho mai richiesto. L'autenticazione a due fattori lo rende inevitabile. Continuo a fornire il mio indirizzo e-mail o il mio numero di telefono ad aziende che preferirei non utilizzare. Ricordi quando ci si poteva registrare solo con nome utente e password? Allora, dovevi confermare la password; ora confermi l'e-mail. Le password non sono più di moda.
C'è un problema di privacy più profondo. Quando il mio provider di posta elettronica gestisce i codici di autenticazione a due fattori, monitora sostanzialmente ogni tentativo di accesso. Gmail sa quando provo ad accedere a PayPal. Non voglio che Gmail lo sappia.
Abilitare la verifica in due passaggi tramite SMS è peggio di quanto pensiLa mia compagnia telefonica, che conosceva già il mio numero e la mia posizione, ora sa quali app sto usando e quando. Anche se non useranno questi codici per accedere al posto mio, è molto preoccupante.
Anche se non sei particolarmente preoccupato per la privacy, sicuramente vuoi la tranquillità. Non voglio dare il mio numero di telefono a ogni sito a cui mi iscrivo e poi essere bombardato da fastidiosi messaggi di marketing. Non voglio dover rispondere "stop" a un codice breve e poi pagare per questo.
Apprezzo molto una casella di posta pulita, soprattutto i messaggi dell'iPhone. Ecco perché ho adorato iOS 26: perché ha finalmente portato la posta indesiderata sugli iPhone. Ma nei casi peggiori, il servizio utilizza lo stesso numero sia per la verifica in due passaggi che per la posta indesiderata. Se blocchi un numero, verrai bloccato fuori dal tuo account. Che soluzione perfetta!
Chiusure permanenti
Non ho ancora superato la perdita del mio account Outlook.
Non riuscire ad accedere al backup della tua email, del tuo telefono o del tuo dispositivo può bloccarti definitivamente dall'accesso ad account importanti, e il processo di recupero è estremamente difficile. Ho vissuto questo incubo con Microsoft e, a più di un anno di distanza, ne sto ancora pagando il prezzo.
Avevo un indirizzo email Outlook collegato alla mia università e al mio lavoro. Tutti gli account importanti (Asana, Slack, CMS, siti web aziendali, LinkedIn, la dashboard della mia università, la mia VPN) erano collegati a questo indirizzo.
Volevo solo inviare una bozza della mia tesi al mio professore. Ma Outlook aveva altri piani: mi ha costretto a riautenticarmi. Nessun problema. Ho inserito il mio indirizzo email e la password, ma non è bastato. Un codice di verifica in due passaggi è stato inviato al mio indirizzo email di backup. Purtroppo, l'indirizzo email di backup era un altro indirizzo email di Outlook che richiedeva anch'esso la verifica in due passaggi.
La mia email di backup era il mio account Yahoo. Potete già immaginare cosa è successo. L'intero sistema è crollato come un domino. Avendo esaurito tempo e pazienza, ho cliccato su "Reimposta password". Ho risposto correttamente a due domande di sicurezza, ma mi è stato detto che il mio account era "bloccato a causa di attività sospetta".
Quando ho riacquistato l'accesso al mio account secondario Yahoo e Outlook, l'account principale era scomparso. Il sistema di recupero di Microsoft voleva gli oggetti delle mie email recenti (nessun problema), i contatti recenti (nessun problema) e il Paese da cui avevo effettuato l'accesso (impossibile, ho sempre usato una VPN). Ho indovinato il Paese sbagliato. La risposta di Microsoft è stata quella di impedirmi di riprovare. È stato bloccato definitivamente.
Ho dovuto sbrigarmi e cambiare indirizzo email ovunque, spiegarlo a professori e colleghi e scusarmi per il disordine. Alcuni servizi non mi permettono ancora di aggiornare le mie credenziali di accesso senza questo indirizzo Outlook. Se mi disconnetto, quegli account saranno persi per sempre.
Sì, le mie abitudini di sicurezza non erano ideali. Non avrei dovuto usare Outlook come backup per Outlook. Avrei dovuto controllare i miei backup più regolarmente. Ma questa punizione è troppo dura. La sicurezza dovrebbe proteggere gli utenti senza tenerli in ostaggio dei propri account. Invece, l'autenticazione a due fattori mi ha escluso dalla mia vita. E nel 2, l'assistenza clienti non sarà più un'opzione. Al suo posto, avrai un chatbot basato sull'intelligenza artificiale.
La cura è peggiore della malattia
Tutto sommato, capisco perché l'autenticazione a due fattori (2FA) venga presentata come un baluardo contro gli accessi non autorizzati, ma la sua applicazione pratica ha dimostrato di causare più problemi di quanti ne valga la pena. L'eccessiva complessità dell'accesso, l'inaffidabilità della distribuzione del codice, il disordine e le violazioni della privacy nelle nostre caselle di posta e il potenziale rischio di terrificanti arresti permanenti: il costo di questo ulteriore livello di sicurezza supera davvero i benefici previsti?
