WhatsApp continua a rafforzare la sicurezza degli account. Dopo la verifica in due passaggi e la possibilità di associare un indirizzo email per il recupero, nell’ultima beta per Android (versione 2.26.7.8) emergono riferimenti a una novità importante: una vera e propria password per l’account. Non si tratta di una funzione già attiva, nemmeno per i beta tester. Ma il codice dell’app lascia pochi dubbi sulle intenzioni della piattaforma.
Una password oltre il codice SMS
Oggi l’accesso a WhatsApp su un nuovo dispositivo si basa principalmente sul codice di verifica a 6 cifre inviato via SMS. In alternativa, è possibile attivare la verifica in due passaggi con un PIN aggiuntivo. La nuova funzione introdurrebbe un ulteriore livello: una password alfanumerica scelta dall’utente. Secondo quanto emerso, la password dovrà essere lunga tra 6 e 20 caratteri, dovrà includere almeno una lettera e un numero, essere valutata dall’app tramite un indicatore di sicurezza, poter essere modificata o rimossa in qualsiasi momento. Un aspetto chiave è che la password sarà facoltativa. Nessuna imposizione, ma un’opzione aggiuntiva per chi desidera maggiore protezione.
Come funzionerà nel login
La password verrà richiesta dopo l’inserimento del codice SMS durante la registrazione o l’accesso su un nuovo dispositivo. Gli scenari previsti sono due:
- Se l’utente utilizza solo la password, dopo il codice SMS verrà richiesta la password dell’account.
- Se sono attive sia la verifica in due passaggi sia la password, il flusso sarà ancora più rigoroso: codice SMS, PIN 2FA e infine password.
In questo modo, anche in caso di SIM swap – una tecnica che consente a un malintenzionato di intercettare il codice SMS trasferendo il numero su un’altra SIM – l’account rimarrebbe protetto da ulteriori barriere. La logica è semplice: più fattori di autenticazione significano maggiore protezione. Con questa novità, WhatsApp aggiungerebbe un ulteriore livello a un sistema già composto da codice SMS, verifica in due passaggi, email di recupero. Non esistono sistemi inviolabili, ma la combinazione di più meccanismi rende estremamente complesso l’accesso non autorizzato. Al momento non risultano attacchi capaci di aggirare simultaneamente SMS, 2FA e una password aggiuntiva. Si tratta quindi di una misura preventiva, pensata per anticipare scenari futuri.
Quando arriverà?
La funzione è ancora in fase di sviluppo e non è disponibile nemmeno per chi partecipa al programma beta su Android. Questo suggerisce che il team stia lavorando sull’integrazione nel flusso di registrazione, probabilmente per evitare frizioni nell’esperienza utente. Come spesso accade per le novità legate alla sicurezza, il rilascio potrebbe avvenire in modo graduale una volta conclusa la fase di test.
