Questo articolo è stato pubblicato da questo sito
Google non è l’unica azienda che permette di eseguire il backup dei codici 2FA. Dal 2019, Microsoft consente di utilizzare uno strumento di “backup e ripristino” per la sua app Microsoft Authenticator. Anche altre app di terze parti, come Authy, si sincronizzano tra i diversi dispositivi degli utenti (il password manager nascosto di Apple consente di generare e memorizzare i codici di accesso su iPhone e Mac, ma non ha un’app).
Sicurezza e privacy
Nonostante Brand descriva la funzione di backup dei codici 2FA di Google come un vantaggio per gli utenti, Moore afferma che ci sono sempre dei compromessi quando si bilancia la sicurezza degli utenti e la comodità. Certo, il backup dei codici potrebbe rendere più facile l’accesso ai propri account in caso di smarrimento o furto del telefono. Ma con più luoghi in cui i codici vengono memorizzati, aumenta anche il rischio che un malintenzionato possa accedervi.
Se una persona riuscisse per esempio a entrare nel vostro account Google, potrebbe essere in grado di accedere anche ai codici 2FA degli altri vostri account online. Kimberly Samra, portavoce di Google, dichiara che “il rischio è molto minore rispetto al caso in cui si perda il dispositivo, non si disponga più dei codici unici e il servizio debba utilizzare un meccanismo molto più debole per consentire l’accesso“.
Tommy Mysk, uno sviluppatore di app e ricercatore di sicurezza che gestisce la società di software Mysk, ha testato diverse applicazioni 2FA trovando applicazioni false disponibili per il download. Aggiunge che le principali app 2FA hanno limitazioni dal punto di vista della sicurezza e dellaprivacy. La sincronizzazione di Microsoft, per esempio, non funziona tra dispositivi iOs e Android, un aspetto che rende più difficile cambiare sistema operativo e portare con sé i codici.
Dal punto di vista della raccolta dei dati, Mysk afferma che Google Authenticator funziona “molto bene” e non condivide i dettagli dei Qr-code con Google. “La maggior parte delle app, compreso Microsoft Authenticator, invia dati analitici comportamentali, come cioè gli utenti utilizzano le app e dove fanno tap – dice Mysk –. Google Authenticator non invia questo tipo di dati“.
Nonostante la maggiore comodità, non sembra che le app di autenticazione di Google o Microsoft effettuino il backup dei codici di accesso 2FA utilizzando la crittografia end-to-end quando vengono sincronizzati, che garantisce che le aziende non possano vedere il contenuto dei codici di accesso. “Poiché le app 2FA si occupano di segreti, l’unico modo sicuro per sincronizzare i dati tra i dispositivi è utilizzare la crittografia end-to-end – sottolinea Mysk –. Lo sviluppatore dell’app non dovrebbe essere in grado di leggere il contenuto dei dati“.
