La libertà offerta dal mercato delle criptovalute è accompagnata dauna curva di apprendimento molto personale sulla sicurezza. La responsabilità è infatti dell’utente, che è la prima vittima di questa battaglia permanente contro la pirateria. Un esercizio svolto efficacemente con l’aiuto di strumenti a due fattori (2FA), il principale dei quali è Google Anthenticator. Ma ovviamente è stata inserita una falla.
In effetti, a volte cercare troppo di fare meglio può portare a fare peggio. E nella corsa allo sviluppo di strumenti per la sicurezza digitale su Internet, questo non è un compito facile. Perché quello che doveva essere un semplice aggiornamento che offriva la possibilità di sincronizzare gli account di Google si è trasformato in una una potenziale grande vulnerabilità di hacking per gli utenti di Google Authenticator. Spiegazione…
Google Authenticator – Utenti più vulnerabili agli hackeraggi
A volte le idee o i miglioramenti che dovrebbero semplificare le cose finiscono per aggiungere scappatoie dove prima non ce n’erano. Questo è chiaramente il caso dell’ultimo aggiornamento apportato da Google al suo strumento Authenticator. Perché una nuova e a prima vista attraente funzionalità permette di » salvare in modo sicuro i vostri codici una tantum (noti anche come one-time password o OTP) sul vostro account Google ».
Il problema? Tutto questo verrà memorizzato nel cloud, in modo che gli utenti che hanno perso il telefono possano recuperare i codici o sincronizzare un nuovo operatore. Ma, come spiegano gli specialisti di sicurezza informatica Mysk, « non installatelo ». Perché « in caso di violazione dei dati o se qualcuno accede al vostro account Google, tutti i vostri codici 2FA sarebbero compromessi. «
» Abbiamo analizzato il traffico di rete quando l’applicazione sincronizza i segreti ed è emerso che il traffico non è crittografato end-to-end. Ciò significa che Google può vedere i segreti, probabilmente anche quando sono memorizzati sui suoi server. Non è possibile aggiungere una password per proteggere i segreti e renderli accessibili solo all’utente.. «
Perché in realtà è molto più facile accedere a un account cloud che a uno smartphone. E come spiegato da u/pojut Su Reddit, il modo migliore per proteggere le informazioni di login 2FA è quello di tenere « un dispositivo separato (magari un vecchio telefono o tablet) il cui unico scopo nella vita è quello di essere utilizzato per l’applicazione di autenticazione di vostra scelta ». Questo senza installare nient’altro su di esso o utilizzarlo per qualsiasi altra funzione.
Proteggete i vostri investimenti in criptovalute scegliendo partner affidabili e fidati. Iscriviti ora a Piattaforma Bybit (link commerciale), il punto di riferimento per la sicurezza e l’affidabilità.