L’ autenticazione a due fattori ( in inglese, Two Factor Authentication) è un processo di sicurezza informatica che richiede all’utente due diverse forme di identificazione prima di poter accedere al proprio account:
- Il primo fattore è di solito qualcosa che l’utente conosce, come una password
- Il secondo fattore è di solito qualcosa che l’utente possiede, come un token fisico o un telefono cellulare.
L’ autenticazione a due fattori (l’acronimo è 2FA) viene spesso confusa con la verifica in due passaggi (SMS),mettiamo subito in chiaro che non sono la stessa cosa. L’autenticazione a due fattori, infatti, aggiunge un ulteriore livello di protezione all’ account, rendendo più difficile l’accesso agli hacker e ai malintenzionati.
Diversamente, la verifica in due passaggi presuppone che, dopo l’inserimento delle proprie credenziali di accesso che di solito sono – Username e password – si fornisca la risposta ad alcune domande.
Anche se l’ autenticazione a due fattori non è perfetta, può aiutare nella prevenzione agli hacker e, in certi casi, alla perdita del proprio account.
Al giorno d’oggi, per molti servizi internet, come Google, Facebook, Apple, Microsoft e altri, fornire all’utente la possibilità di effettuare l’autenticazione a due fattori è diventato lo standard di sicurezza.
In questo articolo vedremo insieme come funziona l’autenticazione a due fattori (2FA), come usarla sui nostri account e concluderemo con una breve considerazione sul significato di sicurezza nel mondo Intenet Technology.
Indice dei contenuti
Come funziona l’autenticazione a due fattori?
Quando abiliti la 2FA per il tuo account, ti viene chiesto di fornire un numero di telefono. Dopodiché, ogni volta che proverai ad accedere, ti verrà chiesto di inserire un codice che verrà inviato al tuo telefono via SMS. Questo codice cambia ogni volta, quindi anche se qualcuno ha la tua password, non sarà in grado di accedere senza il tuo telefono.
In alcuni casi, ti potrebbe anche essere chiesto di fornire un token fisico come una chiavetta USB o una chiave di sicurezza. Questo è particolarmente comune per gli account che contengono informazioni sensibili o per le aziende che vogliono aggiungere un ulteriore livello di sicurezza.
Significato di autenticazione a due fattori
Iniziamo con le basi. Per utilizzare un sistema sicuro, un utente deve prima identificarsi e autenticarsi. Tipicamente, l’identificazione viene fornita inserendo il proprio nome utente, mentre l’autenticazione è il processo attraverso il quale l’utente prova la sua identità, ad esempio utilizzando una password che nessun altro può conoscere.
Nel corso del tempo, gli hacker si sono evoluti, rendendo necessario lo sviluppo di nuovi metodi per l’autenticazione degli utenti. Per questo motivo, si è reso necessario sviluppare l’autenticazione a più fattori (MFA), cioè sfruttare l’utilizzo di numerosi fattori durante la verifica. Ecco 3 categorie di fattori:
- Qualcosa che conosci solo tu, come una password.
- Qualcosa che possiedi solo tu, come una smartcard o qualche altro dispositivo che permette l’autenticazione
- Qualcosa che ti identifica come persona fisica, ad esempio l’impronta digitale
L’autenticazione a due fattori è un tipo di autenticazione a più fattori che incorpora elementi di due categorie diverse. Un buon esempio di un metodo di autenticazione a due fattori è durante lo sblocco del tuo telefono appena si avvia, dove devi:
- Inserisce il PIN (qualcosa che sai)
- Fa una scansione della propria impronta digitale (qualcosa che sei)
Utilizzando due livelli di sicurezza invece di uno, si riduce il rischio di accesso non autorizzato.
Differenze tra l’autenticazione a due fattori e la verifica in due passaggi
Come già detto, la maggior parte degli account e delle app richiede una verifica in due passaggi che comprende l’inserimento di una password e, durante il secondo passaggio, di un ulteriore codice di sicurezza.
Il codice univoco della “transazione” è generato da un dato alfanumerico inviato tramite SMS, email, tramite app come Microsoft Authenticator o la scansione di un codice QR.
Spesso, i codici di controllo di sicurezza hanno una data di scadenza, il che implica che il secondo passo di verifica deve essere completato entro un breve lasso di tempo prestabilito.
Tuttavia, il secondo componente della verifica è ancora un codice (qualcosa che conosci) piuttosto che un dispositivo (qualcosa che possiedi) o dati biometrici (qualcosa che ti identifica come persona fisica). Per questo motivo, la verifica in due fasi non dovrebbe essere paragonata all’autenticazione a due fattori. Entrambi sono più sicuri dell’autenticazione lineare, ma la verifica in due fasi lo è molto di più.
Se un hacker vuole ottenere le credenziali di un account protetto dalla verifica in due passaggi, deve ripetere nuovamente la stessa procedura di truffa digitale. Lo stesso hacker dovrà rubare la password e violare il secondo livello di sicurezza, per esempio rubando la smart card di sicurezza dell’utente, il che è notevolmente più difficile. Infine, l’autenticazione a due fattori è sempre divisa in due fasi, anche se ognuna comporta un diverso insieme di criteri.
Autenticazione a due fattori con password e token
L’approccio basato su token all’autenticazione a due fattori (2FA) è uno dei più sicuri. Un token è una stringa univoca che serve per verificare la tua identità contenuta, ad esempio, in una chiavetta di sicurezza USB come quelle prodotte da Yubico, un dispositivo Bluetooth o addirittura un dispositivo integrato in alcuni modelli di smartphone. Guarda il video qui sotto per le istruzioni su come utilizzare una chiave di sicurezza con Google.
Livelli di sicurezza informatica
Per essere considerata efficace, la sicurezza di un sistema informatico deve essere vista come una successione di livelli piuttosto che come uno stato sicuro o non sicuro. Più livelli di protezione ci sono, più è difficile accedere al sistema.
Questa nozione è significativa poiché sottolinea il fatto che noi, come utenti, siamo responsabili di mantenere i nostri sistemi e account al sicuro. Ecco come proteggere un telefono Android con 5 livelli di protezione:
- Primo livello: installa un antivirus sul tuo telefono
- Secondo livello: utilizza il PIN
- Terzo livello: utilizza l’impronta digitale per l’autenticazione a due fattori (o con il Face ID su iPhone)
- Quarto livello: blocca le applicazioni con una password
- Quinto livello: identificazione e verifica in due passaggi per tutti gli account e appplicazioni.
Infine, abbiamo bisogno di aggiungere un sesto livello: il buon senso, che è il meccanismo di sicurezza più importante e nel quale spesso si fondano la maggior parte degli errori e delle difficoltà. Alla fine, anche il sistema più sicuro sarà inutile se gli utenti non capiscono come identificare un’email di phishing o condividere informazioni personali sui social media e sulle chat.
Approfondimenti: la password è la base di qualsiasi sistema di sicurezza e, se vuoi, puoi approfondire l’argomento con la lettura di questo articolo che spiega come creare e gestire le password in modo sicure.