Chiunque abbia un account di qualche social network o servizio online, avrà già avuto a che fare con l’autenticazione a due fattori (2FA, Two-Factor Authentication). Anche se talvolta viene denominata autenticazione in due passaggi, o verifica in due passaggi, il concetto è sempre lo stesso. Di cosa si tratta, come funziona e cosa si intende per “fattori”?
In questo articolo gli esperti di Kaspersky rispondono a queste domande e perché è consigliabile utilizzare l’autenticazione a più fattori.
Che cos’è l’autenticazione a due fattori?
«Per iniziare, vediamo una semplice definizione. Si parla di autenticazione a più fattori quando per la convalida dei diritti di accesso (ovvero l’autenticazione) vengono impiegati più metodi contemporaneamente.
I servizi digitali utilizzano in genere un sistema di autenticazione a due fattori. Anche se l’impiego di più fattori non comporta problemi, solitamente se ne utilizzano solo due per evitare di infastidire gli utenti.
In altre parole, l’autenticazione a due fattori assicura l’equilibrio ideale tra protezione dell’account e praticità. Ma quali “fattori” possono essere utilizzati per confermare i diritti di autenticazione dell’utente? Ecco le opzioni più popolari:
- Conoscenza. L’autenticazione viene ottenuta specificando correttamente una password, una passphrase, un codice numerico, una sequenza grafica, una risposta a una domanda segreta e così via.
- Possesso. I diritti di accesso vengono convalidati tramite un determinato oggetto (ad esempio una chiave, un token USB, un telefono, una carta bancaria). È anche possibile dimostrare di avere accesso a un numero di telefono o a un altro account (ad esempio, un account e-mail), ad esempio ottenendo un codice monouso.
- Proprietà intrinseca. Spesso è possibile eseguire l’autenticazione tramite alcune proprietà intrinseche e uniche dell’utente: impronta digitale, voce, volto, DNA, iride, stile di digitazione sulla tastiera e così via.
- Geolocalizzazione. In questo caso, l’autenticazione si basa sul fatto che l’utente si trova in un determinato luogo, ad esempio all’interno dell’ufficio dell’azienda per accedere alle risorse aziendali.
Affinché l’autenticazione a più fattori funzioni, i metodi utilizzati per convalidare i diritti dell’utente devono essere diversi. Pertanto, se un servizio chiede all’utente di inserire due password invece di una (oppure una password e la risposta a una domanda segreta), questo sistema non può essere considerato autenticazione a due fattori, poiché viene utilizzato due volte lo stesso metodo di convalida (conoscenza).
Perché è necessaria l’autenticazione a due fattori?
L’autenticazione a più fattori è consigliata poiché, individualmente, ciascun metodo di convalida presenta alcuni punti deboli. Ad esempio, la conoscenza di alcune informazioni potrebbe essere un metodo affidabile, ma solamente se tali informazioni sono note solo all’utente e non potrebbero in alcun modo essere ottenute da altre fonti. Ma non è quasi mai così: l’utente deve digitare una password che viene poi trasmessa tramite Internet. Generalmente, inoltre, la password viene archiviata in qualche modo, poiché è impossibile ricordare tutte le password per tutti gli account. Questo offre molte opportunità di intercettazione e furto.
Ma soprattutto, la password viene memorizzata dal servizio online, che prima o poi potrebbe essere interessato da una fuga di dati. Inoltre, se si usa la stessa password per più servizi (purtroppo molti utenti lo fanno ancora), tutti questi account rischiano di essere violati.
Lo stesso vale per gli altri metodi di convalida. Il fattore del possesso non è l’ideale, perché l’oggetto in questione (chiave, telefono, carta di credito) potrebbe essere rubato. La geolocalizzazione di per sé non conferma nulla: ci saranno sicuramente molte altre persone vicino a te nello stesso punto e nello stesso momento (a meno che tu non stia andando alla deriva su un iceberg nel mezzo dell’Oceano Artico).
Forse solo il fattore della proprietà intrinseca può essere considerato relativamente affidabile, motivo per cui a volte viene utilizzato come unico fattore di autenticazione. Ma c’è anche un discreto numero di varianti.
Da qui il concetto di autenticazione a più fattori: maggiore è il numero di fattori, più è probabile che una persona che sta cercando di ottenere l’accesso all’account abbia effettivamente il diritto di farlo.
L’utilizzo dell’autenticazione a due fattori è quindi consigliabile per un semplice motivo: perché consente di comunicare al servizio la tua identità e rendere il tuo account più difficile da violare.
Come utilizzare l’autenticazione a due fattori
Esamineremo i vari tipi di autenticazione a due fattori in un altro post. Nel frattempo, concludiamo con alcuni suggerimenti:
- Assicurati di abilitare l’autenticazione a due fattori per tutti i servizi che la offrono.
- Quando possibile, seleziona i codici monouso da un’app di autenticazione come metodo di autenticazione a due fattori. E per gli account più importanti, usa una chiave hardware FIDO U2F.
- Se queste opzioni non sono disponibili, qualsiasi altro metodo sarà comunque preferibile a un sistema che non utilizza un secondo fattore.
- Ricorda che l’autenticazione a due fattori non protegge dal phishing più sofisticato (ad eccezione delle chiavi FIDO U2F), quindi prima di immettere un codice, assicurati sempre che il sito Web sia autentico, non contraffatto».
Utilizza una soluzione di sicurezza affidabile con protezione anti-phishing integrata e degli strumenti per quanto riguarda la creazione di password complesse e l’archiviazione sicura.
https://www.kaspersky.it/blog/what-is-two-factor-authentication/27798/