Cerca nel blog

2019/04/05

Prova pratica dell'“antifurto” di Instagram: autenticazione a due fattori

In una recente puntata di Filo Diretto (La1, RSI, da 43:30 in avanti) ho proposto una piccola dimostrazione della sicurezza offerta dall’autenticazione a due fattori: uno dei migliori sistemi di protezione degli account, che però è usato da pochissimi utenti.

Ho creato un account Instagram, 123disinformatico, e ho pubblicato la password di questo account (123test), invitando le persone a tentare di “hackerarmi”  il profilo Instagram, che ho decorato con numerose foto di gattini nella migliore tradizione di Internet.

L’account è ancora saldamente sotto il mio controllo nonostante diverse decine di tentativi di violarlo (ora ho cambiato password), ed è interessante vedere cosa succede quando questo “antifurto” viene messo alla prova da un attacco ripetuto.

Innanzi tutto Instagram avvisa dei tentativi di intrusione mostrando una schermata che dice “Modifica la tua password per proteggere il tuo account” e spiega che “Qualcuno potrebbe avere la tua password, pertanto effettueremo la disconnessione da tutte le sessioni. Chiunque stia tentando di accedere al tuo account non avrà più accesso a esso.”

Instagram, inoltre, segnala anche i singoli tentativi, indicando la localizzazione e dando la possibilità di dire “Non ero io” oppure “Ero io” (utile nel caso di accesso da un altro proprio dispositivo).

Nella casella di mail associata all’account arrivano poi altre informazioni sui tentativi di violazione: per esempio, viene spesso identificato il tipo di dispositivo che ha tentato l’accesso (Apple iPhone o Samsung SM-G973F, per esempio) e viene indicata la località di apparente provenienza del tentativo (per esempio Zurigo, Losanna, Giubiasco, Lugano, Zugo, Frick, Cugnasco, Canobbio, Cadenazzo, Berna) insieme al nome dell’app che ha tentato l’accesso (complimenti, fra l’altro, a chi ha usato Vivaldi invece del solito Chrome).

Dopo un certo numero di tentativi d’intrusione, inoltre, via mail arriva un avviso: “Ciao 123disinformatico, qualcuno ha provato ad accedere al tuo account Instagram. Se eri tu, usa il codice seguente per confermare la tua identità: [omissis] Se non eri tu, reimposta la tua password per proteggere il tuo account.”

Direi che la prova è andata bene: il sistema ha dimostrato di reggere e di gestire non solo attacchi multipli ma di consentire di usare comunque un account Instagram anche su più di un dispositivo. Cosa aspettate a usarlo?

Nessun commento: