L’autorità federale per la cybersecurity tedesca sta esortando i principali fornitori di webmail ad attivare di default l’autenticazione a due fattori. Le linee guida provengono dal Bundesamt für Sicherheit in der Informationstechnik, che ha pubblicato un nuovo white paper che descrive le diffuse lacune nella protezione dei conti dei consumatori. Secondo l’agenzia, molte funzionalità di autenticazione sono visibili solo dopo aver navigato in più menu, e la maggior parte rimane disabilitata a meno che gli utenti non le abilitino attivamente.
I dati recenti dei sondaggi citati dalla BSI mostrano che solo circa il 34% degli utenti ha l’autenticazione a due fattori attivata sul proprio account email. L’agenzia considera la cifra troppo bassa data la frequenza degli episodi di presa di controllo degli account collegati a phishing, riutilizzo di credenziali e password deboli. Gli account webmail restano un bersaglio principale per gli attaccanti perché spesso fungono da canali di recupero per un’ampia gamma di servizi online.
Raccomandazioni BSI per la protezione dai default
Nel white paper, la BSI raccomanda ai fornitori di attivare metodi di autenticazione forti di default invece di affidarsi all’azione dell’utente. I metodi suggeriti includono autenticazione a due fattori, chiavi di accesso e opzioni di login biometrica. Ai fornitori viene inoltre chiesto di assicurarsi che le regole sulle password rispettino gli standard di sicurezza attuali e che i meccanismi di recupero possano resistere ai tentativi degli attaccanti di manipolare le informazioni memorizzate. L’agenzia sottolinea la necessità di istruzioni chiare, passaggi prevedibili e molteplici canali di recupero.
La BSI ha osservato che i processi di recupero falliscono frequentemente quando gli attaccanti modificano i dati di contatto o le informazioni collegate. Per affrontare questo rischio, l’agenzia consiglia ai fornitori di progettare flussi di recupero che verifichino l’identità tramite segnali affidabili e non si affidano esclusivamente a informazioni di contatto obsolete. L’obiettivo è prevenire sia il blocco degli account che l’accesso non autorizzato.
Caroline Krohn, responsabile della protezione digitale dei consumatori presso il BSI, ha affermato che i sistemi di posta elettronica sicuri sono fondamentali per la partecipazione digitale. Ha affermato che le misure protettive sono efficaci solo quando sono comprensibili, interoperabili e adatte all’uso quotidiano.
La richiesta di tutele contro i default è in linea con gli sforzi più ampi all’interno della Germania per rafforzare i requisiti di cybersicurezza in tutti i servizi digitali. La BSI ha osservato che le caratteristiche di sicurezza visibili aiutano a costruire fiducia e a sostenere quella che i funzionari definiscono sovranità digitale. I ricercatori di sicurezza hanno affermato che gli account email compromessi permettono agli attaccanti di lanciare ulteriori intrusioni reimpostando password, diffondendo spam o riutilizzando le credenziali catturate su più piattaforme.
L’agenzia ha riconosciuto che l’attivazione predefinita dell’autenticazione forte può creare difficoltà per i fornitori che devono bilanciare sicurezza e facilità d’uso. Alcuni utenti potrebbero considerare ulteriori passaggi di accesso come un inconveniente. Gli analisti di sicurezza sostengono che queste preoccupazioni siano superate dai benefici di innalzare la protezione di base per tutti gli utenti. Gli attaccanti continuano a prendere di mira gli account email perché rimangono valicoli gateway verso dati personali e finanziari.
Si incoraggia i consumatori ad attivare l’autenticazione a due fattori su tutti gli account importanti, anche prima che i fornitori modifichino le impostazioni predefinite. Si consiglia inoltre agli utenti di confermare che le informazioni di contatto del recupero siano accurate, monitorare gli account per regole di inoltro insolite ed evitare di affidarsi esclusivamente ai codici SMS, che possono essere intercettati.
Le raccomandazioni del BSI serviranno da punto di riferimento per le discussioni in corso sulle caratteristiche di sicurezza obbligatorie in Europa. Il modo in cui i fornitori risponderanno determinerà se l’autenticazione a due fattori di default diventerà un’aspettativa standard per i servizi email in tutta la regione.