Alcuni giorni fa, WhatsApp ha attivato l’autenticazione a due fattori per offrire agli utenti un più alto livello di sicurezza. Ad un’analisi approfondita, però, sembra che questa funzione sia stata implementata davvero male…
Questo ulteriore strato di protezione dovrebbe garantire all’utente una maggior sicurezza e l’impossibilità di usare le vulnerabilità del protocollo telefonico SS7, utilizzato da malintenzionati per impossessarsi di account WhatsApp altrui.
Come spiega Andrea Draghetti, il 2FA può essere implementato mediante diverse metodi, pin/password (codice statico), token/otp (password random ogni x secondi) o biometria (impronta digitale, iride, ecc). WhatsApp ha scelto il primo metodo (come ha fatto anche Telegram tempo fa).
Comunemente il 2FA mediante pin/password è una protezione “sconnessa”, richiesta solo in una determinata azione che, nel caso di WhatsApp, attiva l’autorizzazione ad abilitare un nuovo device. Il codice scelto dall’utente non deve essere richiesto periodicamente, altrimenti aumenta sensibilmente il rischio che tale codice possa essere esposto e quindi compromesso. In pratica, si tratta di un codice che dovrebbe essere scritto o stampato su carta e conservato in una cassaforte (come specifica 1Password, Blockchain e altre servizi simili).
WhatsApp ha invece deciso di richiede all’utente di inserire saltuariamente (probabilmente ogni giorno) il codice del 2FA, quando invece la best-practice prevederebbe di richiederlo solo all’attivazione di un nuovo device. Inoltre se l’utente si dimentica del codice della verifica in due passaggi (su un device già attivo), con un semplice click può disabilitare la protezione. Infine, l’utente o un malintenzionato possono annullare la verifica in due passaggi senza che venga richiesto il codice originario dalle impostazioni di WhatsApp.
Per maggiori informazioni vi suggeriamo di leggere questo articolo.