Nella verifica in due passaggi del nostro account Google (e non solo) viene offerto di default l’invio di un codice via SMS, ma le cose potrebbero presto cambiare a causa delle indicazioni fornite dal “US National Institute for Standards and Technology” (NIST).
Secondo le nuove linee guida fornite infatti, tale tipologia di verifica non sarebbe sufficientemente sicura; queste non andrebbero in alcun modo ad obbligare le compagnie (tra cui Google) in quanto non hanno valore vincolante, ma solitamente ricevono comunque molta considerazione.
Il NIST sostiene che debbano garantire che i numeri di telefono affidabili siano associati ad una rete mobile e non ad un numero virtuale che opera tramite VoIP; questo perché tali servizi potrebbero risultare compromessi e quindi non sicuri. Un estratto del testo redatto dal NIST sostiene però:
“[La verifica] fuori banda è disapprovata e non sarà più consentita nelle versioni future di queste linee guida”.
Il problema sorge nell’interpretazione di quel “fuori banda” (in inglese “out of band”): in termini di telecomunicazioni viene infatti utilizzato a volte per riferirsi ai servizi VoIP, ma in un senso più generale andrebbe ad essere considerata “fuori banda” anche la registrazione sul web per l’ottenimento del codice di verifica sul telefono. Se il riferimento corretto fosse quest’ultimo potremmo dunque assistere alla scomparsa della verifica via SMS.
Le alternative per la verifica in due passaggi già non mancano (ad esempio), staremo a vedere come si comporteranno Google e le altre aziende che utilizzano tale sistema.