Cos'è l'autenticazione a due fattori e perché dovresti usarla?

Uno dei pensieri inquietanti nell’era moderna, dove i dati sono il nuovo petrolio, è la preoccupazione di avere gli account online compromessi o di perdere completamente l’accesso a essi. Sebbene diversi fattori possano essere attribuiti a questa preoccupazione, il più significativo di tutti è la mancanza di adeguate misure di sicurezza, che possono essere suddivise in negligenza e cattive pratiche di sicurezza che la maggior parte degli utenti finisce per seguire, consapevolmente o meno.

Un modo per uscire da questa situazione è abilitare la 2FA (autenticazione a due fattori) su tutti i tuoi account per rafforzarne la sicurezza. In questo modo, anche se la tua password viene trapelata/hackerata, il tuo account non sarà comunque accessibile fino a quando non sarà convalidato dal secondo fattore (token di verifica 2FA).

Ma a quanto pare, molte persone non sembrano sfruttare la 2FA o sono ignare della sua esistenza. Quindi, per semplificare le cose, ecco una guida sull’autenticazione a due fattori con risposte ad alcune delle domande più comuni sulla 2FA.

Cos’è l’autenticazione a due fattori (2FA)?

L’autenticazione a due fattori o 2FA è un tipo di meccanismo di autenticazione a più fattori (MFA) che aggiunge un ulteriore livello di sicurezza al tuo account—un secondo fattore, nel caso della 2FA—per autenticare i tuoi accessi.

Idealmente, quando accedi a un account utilizzando il tuo nome utente e la tua password, la password funge da primo fattore di autenticazione. E solo dopo che il servizio verifica che la password inserita sia corretta, ti consente di accedere al tuo account.

Uno dei problemi con questo approccio è che non è il più sicuro: se qualcuno riesce a ottenere la password del tuo account, può facilmente accedere e utilizzare il tuo account. È proprio qui che entra in gioco la necessità di un secondo fattore.

Un secondo fattore, che può essere impostato in diversi modi, aggiunge un ulteriore livello di autenticazione al tuo account al momento dell’accesso. Con esso abilitato, quando inserisci la password corretta per il tuo account, ti verrà richiesto di inserire il codice di verifica, valido per un periodo di tempo limitato, per verificare la tua identità. Dopo una verifica riuscita, ti viene concesso l’accesso all’account.

A seconda del servizio che implementa il meccanismo, la 2FA può talvolta essere chiamata anche verifica in due passaggi (2SV), come nel caso di Google. Tuttavia, oltre alla differenza di nome, il principio di funzionamento dietro entrambi rimane lo stesso.

Anche su TechPP

Come abilitare l’autenticazione a due fattori su Facebook, Instagram e TwitterLeggi di più

Come funziona l’autenticazione a due fattori (2FA)?

Come accennato nella sezione precedente, l’autenticazione a due fattori comporta l’uso di un secondo fattore (in aggiunta al primo fattore: password) per completare un controllo dell’identità al momento dell’accesso.

Per realizzare ciò, le app e i servizi che implementano la 2FA richiedono che almeno due dei seguenti fattori (o prove) siano verificati dall’utente finale prima che possa accedere e iniziare a utilizzare un servizio:

i. Conoscenza – qualcosa che conosci
ii. Possesso – qualcosa che hai
iii. Inerenza – qualcosa che sei

Per darti un’idea migliore di cosa costituiscano questi diversi fattori, nella maggior parte degli scenari, il fattore Conoscenza può essere, ad esempio, la password o il PIN del tuo account, mentre il fattore Possesso può includere qualcosa come una chiave di sicurezza USB o un fob di autenticazione, e il fattore Inerenza può essere le tue biometrie: impronta digitale, retina, ecc.

Una volta che hai impostato e attivato la 2FA su uno dei tuoi account, ti verrà richiesto di inserire uno dei due fattori di verifica, tra Possesso e Inerenza, oltre al fattore Conoscenza, per verificare la tua identità sul servizio al momento dell’accesso.

Poi, a seconda di cosa desideri proteggere e del servizio che stai utilizzando, hai due opzioni per scegliere il tuo meccanismo di autenticazione secondaria preferito. Puoi utilizzare Possesso: qualsiasi chiave di sicurezza fisica o un’app generatrice di codici sul tuo smartphone, che ti fornisce un token usa e getta che puoi utilizzare per verificare la tua identità. Oppure puoi fare affidamento su Inerenza: verifica facciale e simili, come fornito da alcuni dei servizi di oggi, come secondo fattore di verifica della sicurezza per il tuo account.

Anche su TechPP

Come abilitare l’autenticazione a due fattori sul tuo account GoogleLeggi di più

L’autenticazione a due fattori è infallibile? Ci sono svantaggi nell’utilizzare la 2FA?

Ora che hai una comprensione di cosa sia l’autenticazione a due fattori e come funzioni, diamo un’occhiata più da vicino alla sua implementazione e agli svantaggi (se ce ne sono) dell’utilizzo su tuo account.

Per iniziare, mentre il consenso sull’uso dell’autenticazione a due fattori tra la maggior parte degli esperti è per lo più positivo e spinge le persone ad abilitare la 2FA sui propri account, ci sono certamente alcune carenze nell’implementazione del meccanismo che ne impediscono una soluzione infallibile.

Queste carenze (o piuttosto vulnerabilità) sono per lo più il risultato di una cattiva implementazione della 2FA da parte dei servizi che la utilizzano, che può, di per sé, essere difettosa a vari livelli.

Per darti un’idea di un’implementazione debole (leggi inefficace) della 2FA, considera uno scenario in cui hai abilitato la 2FA sul tuo account utilizzando il tuo numero di cellulare. In questa configurazione, il servizio ti invia un OTP tramite SMS che devi utilizzare per verificare la tua identità. Tuttavia, poiché il secondo fattore viene inviato tramite il carrier in questa situazione, è soggetto a vari tipi di attacchi e, pertanto, non è sicuro di per sé. Di conseguenza, tale implementazione potrebbe non essere efficace quanto dovrebbe nel proteggere il tuo account.

Oltre allo scenario sopra, ci sono diverse altre situazioni in cui la 2FA potrebbe essere vulnerabile a tutti i tipi di attacchi. Alcune di queste situazioni includono istanze in cui un sito/app che incorpora il meccanismo: ha un’implementazione distorta per la verifica dei token; manca di un limite di velocità che può consentire a qualcuno di forzare l’accesso all’account; consente lo stesso OTP di essere inviato ripetutamente; si basa su un controllo di accesso improprio per i codici di backup, tra gli altri. Tutti questi possono portare a vulnerabilità che possono consentire a qualcuno—con le giuste conoscenze e competenze—di aggirare il meccanismo di 2FA mal implementato e ottenere accesso all’account mirato.

Allo stesso modo, un altro scenario in cui la 2FA può essere problematica è quando la usi in modo negligente. Ad esempio, se hai abilitato l’autenticazione a due fattori su un account utilizzando un’app generatrice di codici e decidi di passare a un nuovo dispositivo ma dimentichi di trasferire l’app di autenticazione sul nuovo telefono, potresti rimanere completamente bloccato fuori dal tuo account. E di conseguenza, potresti trovarti in una situazione in cui può essere difficile recuperare l’accesso a tali account.

Un’altra situazione in cui la 2FA può a volte danneggiarti è quando utilizzi SMS per ricevere il tuo token 2FA. In questo caso, se stai viaggiando e ti sposti in un luogo con scarsa connettività, potresti non ricevere il token usa e getta tramite SMS, il che può rendere temporaneamente inaccessibile il tuo account. Per non parlare del fatto che cambi carrier e hai ancora il vecchio numero di cellulare collegato a diversi account per la 2FA.

Anche su TechPP

Usa il tuo smartphone Android come chiave di sicurezza per l’autenticazione a due fattori [Guida]Leggi di più

Tuttavia, detto ciò, c’è un fattore cruciale in gioco qui, che è che, poiché la maggior parte di noi è composta da utenti medi di internet e non utilizza i propri account per casi d’uso discutibili, è poco probabile che un hacker prenda di mira i nostri account come potenziali attacchi. Una delle ragioni ovvie per questo è che un account di un utente medio non è abbastanza allettante e non offre molto da guadagnare per qualcuno che spende il proprio tempo ed energia per portare a termine un attacco.

In un tale scenario, ottieni il massimo dalla sicurezza della 2FA piuttosto che imbattersi in alcuni dei suoi estremi svantaggi, come detto in precedenza. In breve, i vantaggi della 2FA superano gli svantaggi per la maggior parte degli utenti—purché tu la utilizzi con attenzione.

Perché dovresti usare l’autenticazione a due fattori (2FA)?

Man mano che ci registriamo per sempre più servizi online, stiamo, in qualche modo, aumentando le probabilità di avere i nostri account compromessi. A meno che, ovviamente, non ci siano controlli di sicurezza in atto per garantire la sicurezza di questi account e tenere lontane le minacce.

Negli ultimi anni, le violazioni dei dati di alcuni dei servizi popolari (con un enorme numero di utenti) hanno trapelato tonnellate di credenziali degli utenti (indirizzi email e password) online, mettendo a rischio la sicurezza di milioni di utenti in tutto il mondo, consentendo a un hacker (o a chiunque abbia le conoscenze necessarie) di utilizzare le credenziali trapelate per accedere a questi account.

Mentre ciò stesso è una grande preoccupazione, le cose peggiorano quando questi account non hanno l’autenticazione a due fattori in atto, poiché ciò rende l’intero processo semplice e poco sofisticato per un hacker. Pertanto, consentendo un facile takeover.

Tuttavia, se utilizzi l’autenticazione a due fattori sul tuo account, ottieni un ulteriore livello di sicurezza, che è difficile da bypassare poiché utilizza il fattore Possesso ( qualcosa che solo tu hai)— un OTP o un token generato da app/fob —per verificare la tua identità.

Infatti, gli account che richiedono un ulteriore passaggio per accedere di solito non sono quelli nel mirino degli attaccanti (soprattutto in attacchi su larga scala) e sono, quindi, relativamente più sicuri rispetto a quelli che non utilizzano la 2FA. Detto ciò, non si può negare il fatto che l’autenticazione a due fattori aggiunge un ulteriore passaggio al momento dell’accesso. Tuttavia, la sicurezza e la tranquillità che ottieni in cambio sono indiscutibilmente degne del fastidio.

Anche su TechPP

6 abitudini tecnologiche che dovresti cercare di adottare quest’annoLeggi di più

Lo scenario menzionato sopra è solo uno dei tanti diversi casi in cui avere la 2FA abilitata sul tuo account può rivelarsi vantaggioso. Ma detto ciò, vale la pena menzionare di nuovo che, anche se la 2FA aumenta la sicurezza del tuo account, non è una soluzione infallibile e quindi deve essere implementata correttamente dal servizio; per non parlare di una corretta configurazione da parte dell’utente, che dovrebbe essere effettuata con attenzione (prendendo un backup di tutti i codici di recupero) per far funzionare il servizio a tuo favore.

Come implementare l’autenticazione a due fattori (2FA)?

A seconda dell’account che desideri proteggere con l’autenticazione a due fattori, devi seguire un insieme di passaggi per abilitare la 2FA sul tuo account. Che si tratti di alcuni dei popolari siti di social networking come Twitter, Facebook e Instagram; servizi di messaggistica come WhatsApp; o anche il tuo account email; questi servizi offrono la possibilità di abilitare la 2FA per migliorare la sicurezza del tuo account.

A nostro avviso, sebbene utilizzare password forti e uniche per tutti i tuoi diversi account sia fondamentale, non dovresti ignorare l’autenticazione a due fattori, ma piuttosto approfittarne se un servizio offre la funzionalità—soprattutto per il tuo account Google, che è collegato alla maggior parte dei tuoi altri account come opzione di recupero.

Parlando del miglior metodo per abilitare l’autenticazione a due fattori, uno dei modi più sicuri è utilizzare una chiave hardware che genera codici a intervalli fissi. Tuttavia, per un utente medio, le app generatrici di codici come Google, LastPass e Authy dovrebbero funzionare perfettamente. Inoltre, oggigiorno, ci sono alcuni gestori di password che offrono sia un vault che un generatore di token, il che rende tutto ancora più conveniente per alcuni.

Sebbene la maggior parte dei servizi richieda un insieme simile di passaggi per abilitare l’autenticazione a due fattori, puoi consultare la nostra guida su come abilitare la 2FA sul tuo account Google e su altri siti di social media per scoprire come impostare correttamente la sicurezza dell’autenticazione a due fattori sul tuo account. E mentre lo fai, assicurati di avere una copia di tutti i codici di backup in modo da non rimanere bloccato fuori dal tuo account nel caso in cui non ricevi token o perdi l’accesso al generatore di token.