WhatsApp attiva l’antifurto: verifica in due passaggi

Ultimo aggiornamento: 2017/02/17 11:05.

WhatsApp ha finalmente attivato l’antifurto, o più precisamente la verifica in due passaggi: una tecnica contro il furto di account già adottata da tempo da Facebook, Instagram, Google, Apple e molti altri servizi di Internet. Questa verifica in due passaggi in gergo tecnico si chiama autenticazione a due fattori e risolve una lacuna di sicurezza importante, che consentiva finora a un aggressore di rubare un account WhatsApp sapendo soltanto il numero di telefonino della vittima e sfruttando alcune astuzie informatiche.

Per abilitare la verifica in due passaggi, che è disponibile sia per dispositivi iOS di Apple, sia per dispositivi Android di tutte le marche, andate nelle Impostazioni di Whatsapp, scegliete la voce Account e poi scegliete Verifica in due passaggi. Se non c’è, provate ad aggiornare l’app di WhatsApp: forse ne state usando una versione vecchia.

 

In questa voce Verifica in due passaggi scegliete Abilita.


 A questo punto immettete un codice di accesso a sei cifre, da tenere segreto...



...digitatelo una seconda volta per confermarlo, prendetene nota per non perderlo, immettete facoltativamente un indirizzo di mail da usare se vi dimenticate il codice numerico...



... e il gioco è fatto.


Questo codice numerico non vi verrà chiesto ogni volta che usate WhatsApp, ma solo ogni tanto, per evitare che ve lo dimentichiate. A parte questo, sarà necessario digitarlo soltanto quando cambiate smartphone o se volete aggiungere al vostro account WhatsApp un altro numero di telefono o un altro dispositivo. Cosa più importante, con questo antifurto un ladro informatico, per rubarvi l’account, dovrebbe conoscere il vostro codice e anche avere accesso a uno dei vostri dispositivi abilitati a usare WhatsApp: una situazione decisamente improbabile.

Se non avete un indirizzo di mail da affidare a WhatsApp, non c’è problema: l’antifurto funziona lo stesso. Per contro, se avete dato un indirizzo di mail a WhatsApp, fate attenzione se ricevete delle mail che contengono inviti a disabilitare questa verifica in due passaggi: se non le avete richieste voi, sono dei tentativi di furto che questa nuova protezione ha sventato.

La verifica in due passaggi può sembrare una complicazione inutile, ma provate a chiedere a qualcuno a cui hanno rubato l’account come si sente ora che i suoi messaggi e le sue foto sono visibili al ladro, che potrebbe usarli per ricattarlo.

Provate questa nuova misura di sicurezza: mal che vada, potete sempre disabilitarla, e potete farlo anche se non ricordate il codice numerico o l’indirizzo di mail che avete impostato: basta infatti rientrare nelle Impostazioni, scegliere Verifica in due passaggi e poi Disabilita.



Una volta tanto, insomma, avere maggiore sicurezza anche in WhatsApp è facile. Non approfittarne sarebbe davvero un peccato. E anche se secondo le indagini di Andrea Draghetti ci sono delle lacune importanti, questa novità è comunque un deterrente e un ostacolo in più per i malintenzionati opportunisti.


Fonte: The Hacker News.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: scomodo, ma necessario per mantenere la qualità dei commenti.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni su regole e utilizzo dei commenti sono reperibili nella sezione apposita.
Commenti
Commenti (14)
Per favore non mettete 123456 come codice di sicurezza perche' l'ho gia' messo io.
Grazie! Le informazioni che ci dai sono sempre preziose.
Ciao,
vi sono però grosse lacune sul livello di sicurezza che ha voluto introdurre WhatsApp.

Questo ulteriore strato di protezione dovrebbe garantire all’utente una maggior sicurezza e l’impossibilità di usare le vulnerabilità del protocollo telefonico SS7 per impossessarsi di un account WhatsApp altrui.

Il 2FA può essere implementato mediante diverse metodi, pin/password (codice statico), token/otp (password random ogni x secondi) o biometria (impronta digitale, iride, ecc). WhatsApp ha scelto il primo metodo (come Telegram ad esempio).

Comunemente il 2FA mediante pin/password è una protezione "sconnessa" richiesta solo in una determinata azione, in questo caso l'autorizzazione ad abilitare un nuovo device. Il codice scelto dall'utente non deve essere richiesto periodicamente altrimenti aumenta sensibilmente il rischio che tale codice possa essere esposto e quindi compromesso! È un codice che dovrebbe essere scritto o stampato su carta e conservato in una cassaforte (come specifica 1Password, Blockchain, ecc).

WhatsApp ha invece deciso di richiede all’utente di inserire saltuariamente (probabilmente ogni giorno) il codice del 2FA quando la best-practice prevederebbe di richiederlo solo all’attivazione di un nuovo device. Inoltre se l’utente si scorda il codice della verifica in due passaggi (su un device già attivo) con un semplice click può disabilitare la protezione, infine l’utente o un malintenzionato possono annullare la verifica in due passaggi senza che venga richiesto il codice originario dalle impostazioni di WhatsApp.

Se vuoi approfondire l'analisi trovi tutti i dettagli sul mio Blog: https://www.andreadraghetti.it/whatsapp-la-peggior-autenticazione-a-due-fattori-che-abbia-mai-visto/
Paolo se posso permettermi ti chiederei di aggiornare il post con le indicazioni del commento di Andrea Draghetti perché ritengo opportuno non instillare troppa sicurezza in questa misura di protezione dato che non è troppo difficile aggirarla. My2cents
a me sentire accostato WA con la parola SICUREZZA fa venire i brividi.

Un programma nato per slurpare tutto lo slurpabile della vostra vita, continuativamente e senza neppure la vostra attivita'/volonta' non dovrebbe trovar posto su uno smartphone.
Poi, certo, ci sono quelli che si spalmano il gelato in fronte pensando sia raffreschevole...
blu-flame

"Raffreschevole" è voluto o ne sei convinto? ;)
@Luigi Rosa
Per favore non mettete 123456 come codice di sicurezza perche' l'ho gia' messo io.

Ah Ah! ti sei fregato!!!
Ora so che usi la password 123456 e chissà in quanti siti altri la usi!

E poi che significa che 123456 la usi tu? E che c'hai l'esclusiva? E poi è proprio una password stupida perché quando sono richiesti un minimo di 8 caratteri non la puoi usare!

Io, invece, che sono molto più furbo di te uso 12345678 ma al contrario.

Vedi? Ti ho dato un suggerimento furbo senza dirti la mia password come hai fatto tu. Aggiungo pure, che puoi usare tranquillamente il mio furbo metodo perché a nessuno verrebbe in mente di usare i numeri al contrario, infatti, non lo hanno fatto nemmeno nel film "Balle Spaziali".

Ora devo lasciare perché mia moglie è venuta a darmi la pastiglietta che avrei dovuto prendere stamattina ma, pare, mi sia dimenticato...
Salve,
ci sono 2 punti per me non chiari nell'articolo:
"A parte questo, sarà necessario digitarlo soltanto quando cambiate smartphone o se volete aggiungere al vostro account WhatsApp un altro numero di telefono o un altro dispositivo" : non mi risulta che si possano associare piu' telefoni ad un account Wahtsapp in quanto l'account 'e associato a 1 e 1 solo numero di telefono.

"Provate questa nuova misura di sicurezza: mal che vada, potete sempre disabilitarla, e potete farlo anche se non ricordate il codice numerico o l’indirizzo di mail che avete impostato: basta infatti rientrare nelle Impostazioni, scegliere Verifica in due passaggi e poi Disabilita. "
Trovo la cosa abbastanza sorprendente: se si puo' disabilitare la Verifica in 2 passaggi senza dovere immettere ulteriori codici allora mi chiedo cosa serva. Chiunque si impossessi del mio telefono puo' semplicemente disabilitarla. Uso sistemi a 2 fattori sia su Google che su Apple ma in entramb i casi per disabilitarla il sistema a 2 fattori bisogna conoscere la password o almeno usare un sistema di recupero...
Sei cifre?

Finirà che quasi tutti metteranno la propria data di nascita, o qualche altra data ovvia da indovinare (nascita coniuge o figlio, anniversario fidanzamento/matrimonio...).
@Andrea Draghetti, la tua analisi mi pare corretta, leggendo il post mi è venuta in mente subito la domanda: Ma se posso disabilitare l'autenticazione SENZA re-immettere il PIN, che diavolo di sicurezza sarebbe? 😒
@Paolo Alberton

Se conosci blu-flame hai già la risposta :)
Io l'avevo attivato qualche giorno fa ma lo disattiverò adesso, chiedermi il codice ogni tanto va bene, ma chiederlo tutti i giorni no, mi spiace.
«o se volete aggiungere al vostro account WhatsApp un altro numero di telefono»

è diventato possibile usare WhatsApp con due numeri? sarebbe utile su telefoni dual-sim, ma è sempre stato impossibile
Unknown,

è diventato possibile usare WhatsApp con due numeri?

Secondo The Hacker News sì: "when you reconfigure your WhatsApp account on your new phone or want to add a new phone number to your account". Ma non sono in grado di confermare in questo momento.