Alfonso Maruccia

USA, autenticazione via SMS al bando

Le autorità federali pubblicano le nuove linee guida per l'autenticazione sui siti governativi. E i messaggi sul cellulare, così come alcune misure biometriche, non superano la verifica di sicurezza

Roma - Il National Institute of Standards and Technology (NIST) statunitense ha preparato la bozza delle nuove linee guida sull'identificazione dei cittadini da parte dei siti governativi, un documento che tra l'altro descrive le modalità di autenticazione "Out-of-Band" (OOB) effettuate tramite l'invio di un codice segreto inviato a un dispositivo fisico posseduto direttamente dall'utente.

Il NIST dichiara che l'autenticazione OOB tramite SMS inviati a uno smartphone va considerata come obsoleta, e non verrà più permessa nelle versioni future delle linee guida. I messaggi testuali non forniscono una prova sufficientemente sicura dell'identità di un utente, dice il documento, e non sono il solo mezzo di autenticazione problematico a essere finito nel mirino dell'agenzia USA.

I due requisiti essenziali per l'autenticazione OOB sono infatti l'unicità del dispositivo in possesso dell'utente e la trasmissione privata delle informazioni di autenticazione, e nel caso degli SMS i siti governativi potrebbero trovarsi ad avere a che fare con servizi VoIP con numeri di telefono "virtuali" e quindi inadeguati al riconoscimento individuale dell'utente.
La ricezione di messaggi testuali "istantanei" e di email non è una prova sufficiente del possesso del dispositivo usato per l'identificazione, dice il NIST, quindi anche in questo caso non è possibile usare tali comunicazioni per l'autenticazione OOB.

Anche i tratti biometrici non posseggono caratteristiche di sicurezza sufficienti a identificare con certezza un utente da remoto, spiega l'agenzia statunitense, perché il numero di falsi positivi è troppo alto e soprattutto perché si tratta di caratteristiche che "non costituiscono segreto": basta catturare la foto di qualcuno - magari a insaputa dell'interessato - per avere un documento biometrico pronto all'uso.

Alfonso Maruccia
Notizie collegate
  • SicurezzaTwitter resetta gli account compromessiIl social interviene per confermare che i suoi server sono al sicuro. I fastidi si sarebbero potuti evitare con qualche accortezza in più. Chi ha fatto il colpo, comunque, ci ha guadagnato
  • SicurezzaInstagram prende sul serio la sicurezzaLa piattaforma dedicata alla condivisione di immagini è popolata da star e da brand: garantire la sicurezza degli account è ormai un passaggio obbligato. Si inizia con l'autenticazione a doppio fattore
  • AttualitàPiù privacy per UberIl servizio di car sharing pone fine alle indagini delle autorità statunitensi con un aggiornamento della proprie pratiche in materia di trattamento dei dati personali e di geolocalizzazione. E con una multa irrisoria
2 Commenti alla Notizia USA, autenticazione via SMS al bando
Ordina