In questo articolo affrontiamo il tema della autenticazione a due fattori e di quanto sia importante averla, sia per la posta elettronica, Facebook, Instagram.
Nell'articolo
Autenticazione a due fattori significato
L’autenticazione a due fattori detta anche (in gergo tecnico 2FA) è un metodo di autenticazione sicura per sistemi e piattaforme informatiche. Consiste nell’utilizzo di due metodi invece che uno. Ad esempio l’inserimento di una password e la scansione dell’impronta digitale. Molto spesso viene confusa con la verifica in due passaggi (2SV), non sono però la stessa cosa.
L’autenticazione a due fattori protegge efficacemente gli account perché alza il livello di sicurezza, rendendo più difficile l’accesso a malintenzionati e a utenti non autorizzati.
Come attivare l’autenticazione a due fattori
Per accedere a un sistema protetto l’utente deve ovviamente identificarsi e autenticarsi. Nella maggior parte dei casi avviene inserendo la UserID (nome utente) e la Password (codice alfanumerico segreto).
Con il tempo i cyber criminali si sono evoluti compromettendo il sistema di autenticazione standard che è diventato non più sufficiente per proteggere i nostri account.
Proprio per questo motivo è stato inventato il concetto di autenticazione multifattoriale (in gergo tecnico MFA), che come dice la parola stessa prevede l’utilizzo di più fattori mentre facciamo l’autenticazione.
I tre fattori:
- Una cosa che sappiamo, ad esempio una password;
- Una cosa che abbiamo, ad esempio una smartcard o un altro dispositivo per l’autenticazione, come un generatore di token;
- Una cosa che siamo, ad esempio l’impronta digitale o un altro dato biometrico.
L’autenticazione a due fattori come dice la parola stessa, è un metodo che combina l’utilizzo di due fattori di categorie ben diverse. Un esempio di processo di autenticazione a due fattori, è quello che facciamo tutti i giorni con lo sblocco del telefono subito dopo l’accensione: inseriamo il PIN (è un qualcosa che sappiamo), o facciamo la scansione della propria impronta digitale (qualcosa che siamo).
Con questa procedura il sistema è protetto da due livelli di sicurezza invece di uno e si riduce il rischio di accessi non autorizzati.
2FA e verifica in due passaggi: le differenze
La verifica in due passaggi (in gergo tecnico 2SV) può utilizzare due fattori simili, diciamo appartenenti alla stessa categoria. Facendo un esempio la maggior parte degli account e delle app richiede la verifica in due passaggi; comprende l’inserimento di una password e, durante il passaggio secondo, l’inserimento di un codice di sicurezza.
Questo codice può essere alfanumerico ed inviato per SMS, per email o app. Io utilizzo Microsoft Authenticator o un codice QR. Spesso questi codici hanno una scadenza, il che significa che il secondo passaggio della verifica deve essere completato entro un breve periodo di tempo dal primo.
Il secondo elemento che utilizza la verifica è pur sempre un codice. Ritornando a prima (una cosa che sai) e non un dispositivo (una cosa che hai) o un dato biometrico (una cosa che sei) l’impronta digitale ad esempio.
Proprio per questo motivo la verifica in due passaggi non deve essere confusa con l’autenticazione a due fattori. Sottolineo che entrambi i metodi utilizzati sono sicuramente più sicuri rispetto all’autenticazione classica, ma il secondo lo è molto di più.
Verifica in due passaggi: esempio
Se un malintenzionato volesse rubare le credenziali di un account che ha la protezione con la verifica in due passaggi, dovrebbe tentare un attacco con tool appositi, per scoprire la password.
Autenticazione a due fattori: esempio
Mentre con l’autenticazione a due fattori, lo stesso malintenzionato oltre al rubare la password, dovrà anche violare il secondo livello di sicurezza; per esempio impossessandosi della smart card di sicurezza in possesso dell’utente. Alla fine se ci pensate l’autenticazione a due fattori avviene sempre in due passaggi, ma comprende fattori diversi tra loro.
Autenticazione a due fattori Fortnite
Prendiamo il famoso Fortnite. Questo gioco promuove l’utilizzo dell’autenticazione a due fattori, in realtà il gioco offre ai suoi utenti due opzioni di verifica in due passaggi: password + codice di sicurezza inviato per email o tramite un’app di autenticazione.
Autenticazione a due fattori con password + token
Uno dei sistemi 2FA più sicuri è quello basato sui token, stile banca ad esempio. Un token è un piccolo dispositivo che ci consente di dimostrare la nostra identità; potrebbe essere una chiavetta di sicurezza USB come quelle prodotte da Yubico ad esempio, un dispositivo Bluetooth o un dispositivo integrato in alcuni modelli di smartphone.
Livelli di sicurezza informatica
L’autenticazione a due fattori ci aiuta a riflettere su cosa significhi la parola sicurezza in ambito informatico. Come si fa a rendere più sicuro un sistema? Quando possiamo definire protetto un account? La risposta è che la sicurezza deve essere concepita come una serie di livelli e non come una condizione esclusiva, bianco o nero, sicuro o non sicuro. Un sistema è tanto più sicuro quanti più livelli di sicurezza devono essere superati per accedervi.
Ovviamente anche se implementiamo tutti questi controlli, dobbiamo ricordarci che siamo noi utenti ad avere la responsabilità di rendere sicuri i nostri sistemi e account.
Protezione smartphone: 5 livelli di sicurezza informatica
Di seguito vediamo come proteggere uno smartphone Android con 5 livelli di sicurezza:
Primo livello: installa un antivirus per smartphone,
Secondo livello: imposta un PIN,
Terzo livello: imposta l’autenticazione a due fattori con l’impronta digitale (il Face ID su iPhone),
Quarto livello: abilita il blocco delle app con password,
Quinto livello: identificazione e verifica in due passaggi per account e app, come ad esempio per WhatsApp, account Google, giochi, etc.
Come spiegato prima, anche impostando tutti questi 5 livelli di sicurezza, rimane il 6 livello (la persona). Nella maggior parte delle truffe la persona umana è l’anello principale.
Se le persone che lo utilizzano non sono in grado di riconoscere un’email di phishing, un sms fake oppure condividono i propri dati personali su social media e chat, come ben capire non c’è sistema che tenga.
Per saperne di più, iscriviti al Canale You Tube
Come sempre fatene buon uso facendo dei test su vostri device / computer, farli su device/computer non vostri è illegale.
N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Aggiornati con i volumi di EPC Editore e con i corsi INFORMA!
Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.
Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.
Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.