Google ha confermato che la verifica in due passaggi basata su SMS consente il blocco del 100% dei bot malevoli, il 99% degli attacchi massivi di phishing e il 66% degli attacchi mirati. Nel caso si impieghi direttamente l’app di Google, con prompt sul dispositivo, sugli attacchi mirati la percentuale sale al 90%.  Le stime si devono a una recente indagine effettuata in collaborazione ricercatori della New York University e University of California.

Insomma, dopo un anno di attenta analisi, durante la Web Conference della scorsa settimana gli esperti hanno concordato sul fatto che il rischio di “hijacking” può essere scongiurato dall’impiego dell’autenticazione a due fattori ma soprattutto da strumenti che agevolano l’utente nel suo uso.

“Se rileviamo un tentativo di accesso sospetto (ad esempio, da una nuova posizione o un dispositivo), chiediamo ulteriori prove del fatto che sei davvero tu. Questa prova può confermare che hai accesso a un telefono fidato o consentire la risposta a una domanda di cui solo tu conosci la risposta corretta”, spiega Google. Senza un numero di telefono di recupero c’è la possibilità di impiegare l’ultima posizione di accesso, ma funziona bene solo con i bot perché con il phishing e gli attacchi mirati l’eficacia crolla al 10%. “Se perdi l’accesso al telefono o non puoi risolvere un problema, puoi sempre tornare da un dispositivo attendibile da cui hai effettuato l’accesso per accedere al tuo account”, ricorda Google.

Rimane comunque il tema degli attacchi mirati che si basano su e-mail di spear phishing che sembrano provenire da familiari, colleghi, funzionari governativi o persino Google. E per il phishing man-in-the-middle, che verifica la validità della password in tempo reale chiedendo alle  vittime di rivelare i codici di autenticazione SMS per accedere all’account, fortunatamente per ora la casistica è bassa: solo uno su un milione di utenti. Ad ogni modo su questi fronti l’azienda consiglia il suo Programma di protezione avanzata. E nel caso di utenti non-Google il consiglio è di installare l’estensione Password Checkup Chrome. “In effetti, nessun utente che utilizza esclusivamente le chiavi di sicurezza è stato vittima di phishing mirati durante la nostra indagine”, ha assicurato Google.