Whatsapp ha annunciato che stanno introducendo 2FA al loro servizio. Normalmente, i servizi si basano su una password (quello che sai) e l'aggiunta di 2FA significa che richiedono un codice aggiuntivo inviato via SMS al tuo telefono (quello che hai), ma fino ad ora Whatsapp ha sempre utilizzato il codice inviato via SMS e senza password , quindi nel loro caso l'aggiunta di 2FA significa aggiungere la password. Sto cercando di capire perché, esattamente, questo dovrebbe essere utile.
Nello scenario comune (un servizio che richiede una password, come un provider di posta elettronica), se alcuni hacker violano il sito e accedono al database degli utenti, possono violare gli hash delle password e accedere agli account degli utenti. L'aggiunta di 2FA impedisce questo scenario, perché anche se possono trovare la tua password hanno ancora bisogno del tuo telefono. Fin qui tutto bene. Ma nel caso di Whatsapp, qual è il vantaggio?
Fino ad ora, coloro che volevano accedere al tuo account dovevano rubare il tuo telefono (e il codice per sbloccare lo schermo), quindi potevano fare tutto (incluso spostare l'account su un altro telefono o cambiare il numero di telefono associato). Ora, invece, avrebbero anche bisogno della password. Ma chi vorrebbe mai fare questo? Normalmente chi vuole accedere all'account Whatsapp di qualcun altro è ad esempio una moglie gelosa che vuole verificare se suo marito la tradisce. Se lei può usare il telefono di suo marito, sbloccato, significa che può leggere ogni messaggio, e l'aggiunta della password non le impedisce di farlo, quindi questo non è lo scenario che vogliono evitare. Se Whatsapp supportava l'uso dello stesso account su più di un dispositivo, la moglie gelosa poteva prendere brevemente il suo telefono, ottenere il codice inviato vis SMS e configurare l'account Whatsapp del marito su un altro telefono, all'insaputa di lui; quindi potrebbe continuare a spiarlo anche quando è via, ad esempio in un presunto "viaggio di lavoro" (forse è abbastanza attento a cancellare tutti i messaggi compromettenti prima che ritorni, quindi questo trucco potrebbe farle scoprire la verità). Qui, la password impedirebbe a lei di farlo ... Ma Whatsapp non supporta l'uso dello stesso account su più di un dispositivo, quindi non importa.
Qualsiasi tentativo di spostare l'account su un altro telefono, o di cambiare il numero associato, non ha molto senso, dal momento che questi attacchi non possono essere tenuti segreti: le vittime noterebbero immediatamente che l'account sul loro telefono non funziona Lavorare più e prendere alcune contromisure, come crearne una nuova e informare tutti di smettere di scrivere al vecchio. Rapidamente, l'account rubato diventerebbe inutile. Una password impedirebbe questo, ok, ma non penso che questo sia uno scenario importante.
Un altro caso in cui la password potrebbe avere senso è se l'autore dell'attacco è un esperto che può intercettare il codice SMS utilizzato come verifica. Di nuovo, questo renderebbe possibile rubare l'account, ma poiché Whatsapp non supporta più dispositivi, la vittima noterebbe immediatamente che l'account sul suo telefono ha smesso di funzionare, e ancora l'attacco sarebbe quasi inutile.
Le FAQ dicono che "Per aiutarti a ricordare il tuo passcode, WhatsApp ti chiederà periodicamente di inserire il tuo passcode." Ciò aiuterebbe coloro che non bloccano lo schermo, ma se un utente non si preoccupa di bloccare lo schermo, perché dovrebbe abilitare quindi 2FA? E gli sviluppatori ammettono anche che questo periodico che richiede il codice è per aiutarti a ricordarlo, non per aumentare la sicurezza.
Lo scenario più plausibile che riesco a pensare è: una banda criminale che può intercettare messaggi SMS da tutto il mondo (!!!) ruba i conti, spostandoli su un altro telefono, e poi invia all'utente legittimo un SMS che dice " Se vuoi recuperare il tuo account, inviaci alcuni bitcoin ". Una password impedirebbe questo, ok. Ma, seriamente, dovremmo preoccuparci di questo ?
Quindi, qual è un caso di utilizzo realistico in cui qualcuno effettivamente benefici dall'aggiunta della password?