Nonostante la verifica in due passaggi (2FA) sia una pratica che consigliamo e che sempre più servizi online stanno adottando come ulteriore livello di sicurezza degli account e dei dati, utilizzarla attraverso gli SMS viene considerato il metodo meno efficace e, potenzialmente, più rischioso. Questo perché l’invio e la ricezione degli SMS non è crittografata, rendendoli “semplici” da spiare per i black hat. A questo proposito, vi segnaliamo che Google da adesso permette di disabilitare l’opzione 2FA via SMS per i clienti G Suite (cosa già possibile per gli account tradizionali).
A partire da oggi, sia i domini Rapid Release sia quelli a rilascio programmato vedranno un’implementazione graduale aggiungendo questa opzione al pannello di amministrazione. Gli utenti che si affidano esclusivamente agli SMS per la 2FA verranno esclusi dai propri account se non viene aggiunto un altro metodo prima che l’amministratore disabiliti l’opzione.
Se siete preoccupati che i dipendenti rimangano bloccati, questa opzione non sarà abilitata per impostazione predefinita, quindi si avrà tempo per far passare tutti a metodi di autenticazione basati su chiave di sicurezza hardware (con supporto allo standard FIDO), basati su app (come ad esempio Authy o Google Authenticator) o anche via prompt.
Sempre inerente alla questione di sicurezza degli account, vi ricordiamo che la 2FA è valida solo se utilizzata in combinazione con una password lunga e formata da caratteri casuali senza alcun riferimento. Per semplificare la loro formazione, vi consigliamo di utilizzare un password manager che consente di archiviare, in maniera crittografata, tutte le password e le note più delicate senza che nessuno possa accedervi.