L’autenticazione a due fattori di WhatsApp: è uno scherzo?

Pochi giorni fa WhatsApp ha introdotto l’autenticazione a due fattori. Anche in questo caso è arrivato per ultimo, dato che questo servizio è disponibile da anni sui principali siti (tra i tanti: Google, Apple, Twitter, Dropbox ed anche il concorrente Telegram).

Ma non sarebbe questo il problema: meglio tardi che mai! In realtà WhatsApp ha introdotto un “qualcosa” (non riesco a definirlo in altro modo!) che con la vera MFA (Multi Factor Authentication) ha ben poco in comune…

Cosa sia e come funzioni la MFA è spiegato nel mio articolo “Autenticazione a DUE FATTORI“, quindi non starò qui ad illustrarlo. Ma quello che si sono inventati in WhatsApp ha ben poco a che fare con questo sistema che – se implementato correttamente – aumenta di molto la sicurezza  dei nostri account.

Diciamo intanto che per attivarla in WhatsApp occorre accedere al menù: Impostazioni > Account > Verifica in due passaggi > Attiva.

In questa maschera dovremo inserire il PIN di 6 cifre che costituisce il secondo fattore di autenticazione.  Già qui notiamo la prima debolezza: questo secondo fattore è un “codice statico” e non una “One Time Password” (OTP), che cambia ogni volta.

Nella maschera successiva ci viene chiesto di inserire un indirizzo email valido, da usare “per resettare il codice di accesso, se lo si dimenticassi“.

Ora, a parte il “dimenticassi”, l’indirizzo email che introduciamo non viene verificato, come sarebbe buona regola (e come fanno tutti gli altri), con l’invio di un’email da parte di WhatsApp. Un’altra anomalia, ma non la più grave. Infatti, se cominciamo ad usare WhatsApp con l’autenticazione a due fattori attivata, il PIN a 6 cifre ci viene chiesto spesso (almeno una volta al giorno nel mio caso). Non ha senso: nella MFA il secondo codice di autenticazione deve servire per proteggerci se qualcuno tenta di accedere da un ALTRO device, ma non deve  essere richiesto ogni volta se usiamo il device abituale (che viene considerato “affidabile”).

Nella MFA (quella seria!) il secondo codice di autenticazione deve essere un codice complesso (quindi anche difficile da scoprire e da ricordare), da usare solo in casi eccezionali. Se dobbiamo digitarlo spesso, probabilmente finiremo per stancarci e lo disabiliteremo (o lo faremmo molto facile!).

Ma la cosa più sconcertante si scopre se, quando per l’ennesima volta ci viene richiesto il codice, clicchiamo su “Codice di accesso dimenticato“.

Se proviamo a farlo, l’autenticazione a due fattori viene immediatamente disabilitata! Non ci viene chiesta l’email di verifica, né ci verrà inviata un’email per informarci della disabilitazione. Ma allora, a cosa serve aver inserito un’email “per resettare il codice”? Mistero!

Questo significa che chiunque (l’utente o un hacker!) può facilmente disabilitare la verifica in due passaggi senza che venga richiesto nulla (PIN o email).

Quindi possiamo concludere che WhatsApp non ha introdotto una Autenticazione a due fattori degna di questo nome e conforme alle regole di sicurezza, ma ha fatto una cosa sostanzialmente inutile (ed anche un po’ scomoda, visto che ci obbliga spesso a digitare il PIN).

Imbarazzante ed inspiegabile.

O forse tutto molto chiaro: quando nel febbraio 2014 Facebook ha comprato Whatsapp, pagandolo 19 miliardi di dollari, l’ha fatto soprattutto per acquisire gli oltre 400 milioni di utenti di WhatsApp. Perchè WhatsApp con un’applicazione di messagistica così elementare è  riuscito ad avere i nostri numeri di cellulare. Zuckerberg ha provato a ottenere lo stesso risultato con il suo Messenger, ma  – almeno in parte – ha fallito. E quindi ha scelto di acquistare il concorrente più temibile.

Una follia pagare 19 miliardi per un’azienda che non ha mai prodotto utili e che in realtà non genera neppure fatturato (il servizio è totalmente gratuito)?

In realtà l’astuto Zuckerberg ha rapidamente recuperato i 19 miliardi spesi, grazie all’enorme aumento di valore delle azioni Facebook (a febbraio 2014 valevano poco più di 60 $, nel 2015 avevano già superato i 100 $ ed oggi sono a 134 $, con un valore di capitalizzazione di 387 miliardi di dollari).

Quindi il costoso acquisto di WhatsApp è stato ampiamente ammortizzato ed ora Facebook potrebbe lavorare per “smontare” lentamente WhatsApp e far migrare tutti gli utenti verso Messenger.

Fantascienza? Forse… ma ne riparliamo tra un paio d’anni…

© Copyright 2017 Giorgio Sbaraglia
All rights reserved.

 

Lascia un commento