Qualche giorno fa WhatsApp ha finalmente introdotto l'autenticazione a due fattori. Normalmente, una simile funzione dovrebbe essere una ulteriore di garanzia di sicurezza per gli utenti, ma, come ci segnala il nostro lettore Andrea Draghetti, nel caso del programma di messaggistica di Facebook non è così.

Innanzitutto, è opportuno precisare che vi sono diversi tipi di autenticazione a due fattori (che d'ora in poi abbrevierò in 2FA):

  • quella tramite PIN o password (c.d. codice statico);
  • quella tramite token o OTP (tipo le chiavette che generano i codici forniteci dalle banche);
  • quella tramite biometria (ad esempio, tramite l'uso del Touch ID).

WhatsApp, così come Telegram e tanti altri sistemi, ha deciso di implementare il primo tipo di 2FA, che è tecnicamente una autenticazione sconnessa, cioè richiesta ad una determinata azione (come il cambio di dispositivo). Proprio per questo, sarebbe opportuno scegliere un PIN robusto, generato casualmente e stampare e custodire in cassaforte, come suggeriscono di fare Apple e Dropbox con i codici per il reset della 2FA dei propri servizi. Quindi, se si cambia smartphone, bisognerà dapprima inserire il numero di telefono, poi il codice OTP fornito tramite SMS ed infine il PIN scelto come 2FA. E fin qui, nulla quaestio, come si scriverebbe in un atto processuale.

I programmatori di WhatsApp, però, hanno pensato di impostare la richiesta del PIN con una cadenza periodica (più o meno una volta al giorno), con l'intenzione di non far dimenticare il codice all'utente, che, onde evitare di doverci riflettere troppo ogni volta, potrebbe essere spinto verso la scelta di un codice semplice o facilmente individuabile, come la propria data di nascita.

Cosa accade, però, se ci si dimentica il PIN? Semplice, cliccando su "Disabilita e continua" si potrà accedere tranquillamente a WhatsApp che, peraltro, non avvertirà l'utente del nuovo accesso, né per email né per SMS. Peraltro, l'app offre comunque la possibilità di effettuare l'attivazione via email, senza che venga inserito un codice di reset generato all'attivazione della 2FA. Infine, la 2FA può essere disabilitata dalle impostazioni di WhatsApp senza che sia necessario l'inserimento del PIN.

Come se tutto questo non bastasse, se un malintenzionato volesse mostrare le proprie abilità di attacker, gli basterebbe aprire il pacchetto dell'app e recuperare il codice PIN, memorizzato in chiaro da WhatsApp. Insomma, che dire: dopo la "falla" by design, anche la 2FA di WhatsApp non garantisce la sicurezza delle conversazioni fra utenti. Il mio consiglio, quindi, è quello di rivolgersi a soluzioni come Telegram e Wickr per le chat che richiedono un maggior controllo di sicurezza, come, ad esempio, quelle che possono trattare questioni di lavoro delicate e che necessitano di un discreto livello di segretezza.