Scopriamo come funziona l'autenticazione a due fattori, perch dovrebbe essere adottata e come configurarla.
Anche se le persone non se ne rendono conto, l’autenticazione a due fattori viene utilizzata regolarmente in molte situazioni. Ad esempio, quanto si striscia la carta di credito ed il sistema di pagamento fa la richiesta all’utente l’inserimento del codice PIN, oppure quando si paga un assegno e ci viene chiesto di mostrare un nostro documento di indentità, quello che viene appurato è il reale possesso della carta di credito e dell’assegno che viene utilizzato per effettuare il pagamento.
L’autenticazione a due fattori utilizza la doppia modalità di dimostrare la propria identità e può venire utilizzato anche per proteggere gli account sul web e, anche se non può garantire una sicurezza conpleta all’utente che accede al proprio account, la richiesta del secondo passaggio rende comunque i dati più sicuri nella Rete.
Questa modalità di autenticazione a due fattori (2FA), consociuta anche come ‘verifica in due passaggi’ o ‘autenticazione a più fattori’; è ampiamente utilizzata e la forma più comune è l’inserimento della password con la successiva ricezione sul telefono o sul computer, di un codice inviato via mail o SMS, necessario per registrarsi in un sito web.
Esistono diversi tipi di autenticazione: tramite una password, PIN, o la risposta ad una domanda personale, o tramite l’impronta digitale, o della retina, o del viso o attraverso la voce
Dopo aver immesso il primo fattore di autenticazione, come ad esempio la password, solitamente il secondo fattore arriva tramite un SMS o una mail ed è costituito da un codice numerico che dovrà essere digitato per entrare al proprio account.
A differenza di un codice PIN per una carta di debito, che è sempre lo stesso per tutto il tempo di validità della carta, il codice a due fattori 2FA viene utilizzato una sola volta e perciò ogni volta che si intende accedere al proprio account, verrà inviato un nuovo codice. Nei dispositivi portatili come smartphone e tablet in alternativa all’invio di SMS, è possibile utilizzare un app dedicata per ricevere i nuovi codici.
Applicazioni di autenticazione molto popolari sono Google Authenticator, Authy e DuoMobile e molti siti web e servizi, come Amazon, Dropbox, Google e Microsoft, offrono agli utenti la possibilità di utilizzare o gli SMS, oppure un app di autenticazione. Twitter, ad esempio, è il più grande esempio di un sito che ti obbliga ad utilizzare gli SMS, ma se si ha la possibilità di scegliere, sarebbe meglio utilizzare un’applicazione di autenticazione; infatti la ricezione dei codici di sicurezza attraverso l’invio di SMS è meno sicura rispetto all’utilizzo di un app, in quanto gli hackers potrebbero intercettare i messaggi di testo o dirottare i numeri telefonici riuscendo ad ingananre gli operatori telefonici, oppure potrebbero ottenere l’accesso ai codici SMS rubando il computer.
Le app di autenticazione hanno invece il vantaggio di non dover fare affidamento sul vostro carrier, poiché i codici vengono inviati al telefono sulla base dell’ora corrente; infatti i codici scadono rapidamente, di solito dopo 30 o 60 secondi. Inoltre, un app di autenticazione non ha bisogno di un gestore che trasmetta i codici, poiché i codici vengono cambiati dalla stessa app.
Per configurare un’applicazione di autenticazione è necessario installare l’applicazione sul telefono e quindi impostare un segreto condiviso tra l’applicazione e il vostro account, che di solito consiste nella scansione di un codice QR con la fotocamera del proprio telefono. Una volta impostato il segreto condiviso, l’app di autenticazione consente di risparmiare il passaggio dell’inserimento di un codice, in quanto è sufficiente toccare sulle notifiche della app per accedere ad uno degli account.
Molti servizi online come Dropbox, Facebook, Google ed Instagram consentono di creare codici di backup, che possono essere stampati o screenshottati; in questo modo in caso di smarrimento del proprio dispositivo o di assenza del segnale, è possibile utilizzare un codice di backup come un secondo fattore di autenticazione per il login.
E’ vero che l’autenticazione 2FA richiede un passaggio in più per accedere al proprio account: bisogna inserire la password, attendere l’arrivo di un codice via SMS e quindi immettere il codice pervenuto, oppure, nel caso si utilizzasse un’applicazione di autenticazione, è necessario attendere l’arrivo della notifica che consente la verifica della propria identità, ma sebbene nessun prodotto di sicurezza offre una protezione totale ed infallibile, con l’unione di due dei tre tipi di autenticazione sopracitati l’autenticazione 2FA si rende decisamente più difficile ai malintenzionati l’accesso ad un account.
Se si dispone di un sistema di sicurezza domestica, è possibile diminuire le probabilità di un furto con scasso combinando ad esempio un sistema di sicurezza con un grosso cane; in questo modo la casa diventa sicuramente più difficile da penetrare ed anche un obiettivo meno attraente per i ladri. Allo stesso modo, l’autenticazione a due fattori 2FA scoraggia la maggior parte degli hackers nel prendere mira il proprio account.
L’utilizzo dell’autenticazione 2FA non è una scusa per usare una password più debole; utilizzare una password più facile da immettere non è una buona idea. Perciò si consiglia di non indebolire il primo fattore solo perché è stato aggiunto un secondo fattore.