Autenticazione a due fattori

Stai creando un nuovo account personale o aziendale su un sito web. Dopo aver inserito i tuoi dati e scelto una password, il sito ti chiede di inserire il codice che ti è appena arrivato via SMS.

Questo passaggio aggiuntivo prende il nome di autenticazione a due fattori. Ma di cosa si tratta?

Una volta inserita l’email o il nome utente, ci sono tre forme di identificazione tra cui scegliere:

• qualcosa che conosci: password o codice PIN;
• qualcosa che possiedi: smartphone o token, come una chiavetta di sicurezza;
• qualcosa che sei: dati biometrici, come l’impronta digitale o il riconoscimento facciale.

Si parla di autenticazione a due fattori se vengono utilizzati due di questi tre fattori.

Invece l’autenticazione a un fattore (SFA) prevede l’uso di solo un fattore, come la password.

Esiste anche l’autenticazione a tre fattori (3FA), che richiede tutti e tre i fattori. È la più sicura ma è ancora in fase di sviluppo e non è molto utilizzata al momento.

L’autenticazione a due fattori funziona in maniera molto intuitiva:

1. vai sul sito web o apri l’app a cui vuoi accedere;
2. inserisci la tua email o nome utente;
3. dopo averli scritti, inserisci il primo fattore di identificazione, che di solito è la password o il PIN;
4. il sito o l’app convalida il primo fattore e ti chiede di fornire il secondo, normalmente un codice inviato via SMS o una chiavetta di sicurezza;
5. una volta inserito il secondo fattore, il sito o l’app lo convalidano e ti danno l'accesso.

In questo modo, i sistemi informatici possono garantire più sicurezza in una fase delicata come quella di accesso online a un account.

Negli ultimi anni, le minacce informatiche sono diventate sempre più sofisticate e difficili da contrastare. Per questo l’uso esclusivo di una password non è più sufficiente a difendersi dagli attacchi degli hacker.

L’autenticazione a un fattore è sempre meno utilizzata perché è molto vulnerabile ai diversi attacchi informatici:

• password rubate: secondo uno studio di Google, il 24% degli utenti usa password deboli (come “password” o “123456”), rendendo più semplice il furto delle credenziali;
• attacchi brute force: gli hacker usano mezzi avanzati per generare casualmente le password fino a indovinarle;
• phishing e vishing: truffe online in cui un hacker cerca di indurre la vittima a fornire informazioni personali volontariamente fingendosi una fonte affidabile, come una banca;
• ingegneria sociale: gli hacker possono utilizzare tecniche di manipolazione psicologica per spingere gli utenti a fornire le proprie credenziali.

Aziende di ogni tipo stanno implementando l’autenticazione a due fattori per diversi motivi:

• garantisce più sicurezza: la 2FA fornisce un ulteriore livello di sicurezza che blocca l’accesso agli hacker anche se hanno le credenziali degli utenti;
• riduce le fughe di dati aziendali: per evitare i danni reputazionali, legali e finanziari delle imprese che subiscono questo attacco informatico;
• è conforme al GDPR: secondo l'Articolo 32 del Regolamento generale sulla protezione dei dati, le aziende devono mettere in atto "misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato”, un obiettivo raggiungibile ormai solo con l’autenticazione a due fattori;
• è comodo e pratico: le persone non sono più obbligate a ricordare centinaia di password ma possono utilizzare, ad esempio, i loro dati biometrici e i codici via SMS.

Esistono tre tipologie principali di autenticazione a due fattori:

• autenticazione tramite SMS;
• app di autenticazione;
• chiavi di sicurezza fisiche (token hardware).

L’autenticazione tramite SMS è il sistema più pratico.

Dopo aver inserito email e password/PIN, il sito o l’app a cui vuoi accedere ti invia un codice usa e getta (OTP) via SMS. A questo punto, ti basta inserire il codice sul sito o sull’app per ottenere l’accesso.

Le app di autenticazione offrono un livello di sicurezza maggiore degli SMS.

Si tratta di applicazioni che puoi scaricare sullo smartphone o su un altro dispositivo e che puoi associare ai tuoi account. Queste app generano codici usa e getta (OTP) a 6 cifre che cambiano ogni 60 secondi circa.

Nel corso degli anni, sono state create diverse applicazioni gratuite a questo scopo come:

• Authy;
• Google Authenticator;
• Microsoft Authenticator.

Il sistema più avanzato di autenticazione a due fattori consiste nell’utilizzare chiavi di sicurezza, o token hardware.

Sono soprattutto le grandi aziende a fornire ai propri dipendenti chiavi di sicurezza che generano codici a intervalli regolari. Questo per evitare fughe di dati aziendali, che possono causare gravi danni reputazionali.

Al momento sono disponibili diversi modelli di token hardware sul mercato, che:

• vanno inseriti in una porta USB, come FIDO U2F Security key del marchio Thetis;
• o funzionano tramite tecnologia NFC, ad esempio YubiKey prodotta da Yubico.

Il processo per attivare l’autenticazione a due fattori può variare in base al sito o all’app a cui vuoi accedere.

In linea generale però ti consigliamo di seguire questi passaggi:

• vai alle impostazioni del tuo account;
• cerca le impostazioni relative alla sicurezza;
• spunta la casella “Attiva l’autenticazione a due fattori”;
• se possibile, scegli la tipologia tra SMS o app di autenticazione;
• a volte ti viene fornita anche una chiave di recupero, in caso tu smarrisca lo smartphone o dimentichi la password.