L’autenticazione a due fattori migliora la sicurezza degli account, scopriamo come funziona

L’autenticazione a due fattori (2FA) è un metodo di autenticazione sicura per sistemi e piattaforme informatiche e consiste nell’utilizzo di due metodi invece che uno, ad esempio l’inserimento di una password e la scansione dell’impronta digitale. Spesso viene confusa con la verifica in due passaggi (2SV), ma non sono la stessa cosa. L’autenticazione a due fattori protegge efficacemente gli account perché aggiunge un livello di sicurezza in più, rendendo più difficile l’accesso ad hacker e utenti non autorizzati.

In questo post faremo chiarezza sul funzionamento dell’autenticazione a due fattori, vedremo come applicarla ai nostri account e concluderemo con una rapida riflessione sul significato di sicurezza in ambito informatico.

Significato di autenticazione a due fattori

Partiamo dalle basi. Per accedere a un sistema protetto, l’utente deve identificarsi e autenticarsi. Di solito, l’identificazione consiste nell’inserire il proprio nome utente, mentre l’autenticazione è il passaggio in cui l’utente dimostra la propria identità, ad esempio inserendo una password che solo lui o lei può conoscere.

Con il tempo, hacker e criminali si sono evoluti e il sistema di autenticazione standard non è più sufficiente per proteggere in modo efficace gli account. Per questo motivo è stato inventato il concetto di autenticazione multifattoriale (MFA), che prevede l’utilizzo di più fattori durante l’autenticazione. Questi fattori possono essere di tre tipi:

  1. Una cosa che sai, ad esempio una password
  2. Una cosa che hai, ad esempio una smartcard o un altro dispositivo per l’autenticazione
  3. Una cosa che sei, ad esempio l’impronta digitale o un altro dato biometrico

L’autenticazione a due fattori è un metodo che combina l’utilizzo di due fattori di categorie diverse. Ad esempio, un processo di autenticazione a due fattori è lo sblocco del telefono subito dopo l’accensione, in cui l’utente:

  • Inserisce il PIN (qualcosa che sai)
  • Fa una scansione della propria impronta digitale (qualcosa che sei)

In questo modo, il sistema è protetto da due livelli di sicurezza invece di uno e si riduce il rischio di accessi non autorizzati.

Differenze tra l’autenticazione a due fattori e la verifica in due passaggi

La verifica in due passaggi (2SV) è simile al concetto di cui stiamo parlando, ma può utilizzare due fattori simili, appartenenti alla stessa categoria. Ad esempio, la maggior parte degli account e delle app richiede una verifica in due passaggi che comprende l’inserimento di una password e, durante il secondo passaggio, di un ulteriore codice di sicurezza. Questo codice può essere un dato alfanumerico inviato per SMS, email o app (ad esempio Google Authenticator) o un codice QR. Spesso i codici hanno una scadenza, il che significa che il secondo passaggio della verifica deve essere completato entro un breve periodo di tempo dal primo.

Tuttavia, il secondo elemento utilizzato nella verifica è pur sempre un codice (una cosa che sai) e non un dispositivo (una cosa che hai) o un dato biometrico (una cosa che sei). Per questo motivo, la verifica in due passaggi non deve essere confusa con l’autenticazione a due fattori. Entrambi i metodi sono più sicuri rispetto all’autenticazione lineare, ma il secondo lo è molto di più.

Se un hacker vuole rubare le credenziali di un account protetto con la verifica in due passaggi, deve ripetere una volta lo stesso processo di furto digitale. Con l’autenticazione a due fattori, lo stesso hacker dovrà rubare la password e in più violare il secondo livello di sicurezza, ad esempio impossessandosi della smart card di sicurezza dell’utente, il che è molto più difficile. In conclusione, l’autenticazione a due fattori avviene sempre in due passaggi, ma comprende fattori diversi tra loro.

Esempio di confusione: l’autenticazione a due fattori Fortnite

Il famoso gioco Fortnite promuove l’utilizzo dell’autenticazione a due fattori, ma in realtà offre ai giocatori due opzioni di verifica in due passaggi: password + codice di sicurezza inviato per email o tramite un’app di autenticazione.

Perché molte aziende fanno confusione su questo argomento? Probabilmente perché in questo modo il loro servizio appare più protetto di quello che è. In generale, i due termini vengono utilizzati in modo intercambiabile, come si legge anche nella guida alla verifica in due passaggi di Google. Eppure, in molti sistemi come quelli Apple, prima è necessario disattivare la verifica in due passaggi per utilizzare l’autenticazione a due fattori.

Autenticazione a due fattori con password e token

Uno dei sistemi 2FA più sicuri è quello basato sui token. Un token è un piccolo dispositivo che ti consente di dimostrare la tua identità. Può essere una chiavetta di sicurezza USB come quelle prodotte da Yubico, un dispositivo Bluetooth o addirittura un dispositivo integrato in alcuni modelli di smartphone. Guarda il video su come utilizzare una chiavetta di sicurezza con Google.

Livelli di sicurezza informatica

L’autenticazione a due fattori ci aiuta a riflettere su cosa significa la parola sicurezza in ambito informatico. Come si fa a rendere più sicuro un sistema? Quando possiamo definire protetto un account? La risposta è che la sicurezza deve essere concepita come una serie di livelli e non come una condizione esclusiva, bianco o nero, sicuro o non sicuro. Un sistema è tanto più sicuro quanti più livelli di sicurezza devono essere superati per accedervi.

Questo concetto è importante perché ci aiuta a capire che siamo noi utenti ad avere la responsabilità di rendere sicuri i nostri sistemi e account. Ecco, ad esempio, come proteggere uno smartphone Android con 5 livelli di sicurezza:

  1. Primo livello: installa un antivirus per smartphone
  2. Secondo livello: PIN
  3. Terzo livello: autenticazione a due fattori con l’impronta digitale (o con il Face ID su iPhone)
  4. Quarto livello: blocco delle app con password
  5. Quinto livello: identificazione e verifica in due passaggi per account e app (WhatsApp, account Google, giochi e così via)

A questi cinque livelli bisogna poi aggiungerne un sesto, il sistema di sicurezza più importante e da cui spesso dipende la maggior parte degli errori e dei problemi: il buon senso. Alla fine, anche il sistema più protetto non sarà sicuro se le persone che lo utilizzano non sanno riconoscere un’email di phishing o condividono i propri dati personali su social media e chat.

Approfondimenti

La base di qualsiasi sistema di sicurezza è la password. Impara a creare password sicure con la nostra guida.
Per uno sguardo al futuro dell’autenticazione a due fattori con hardware, leggi questo articolo sui vantaggi dei sistemi biometrici nei processi di autenticazione.
Per saperne di più sulle tendenze attuali della cybersecurity, consulta il Rapporto CLUSIT 2019 sulla sicurezza ICT.

Buona navigazione e buona autenticazione!
SCARICA FREE VPN</a