Autenticazione a due fattori: cos'è e perché usarla
L’autenticazione a due fattori è lo stumento più sicuro per proteggere i nostri account ma come funziona e su quali servizi possiamo abilitarla?
Pensare che il tuo account sia protetto, inserendo semplicemente una password anche complessa ti sbagli di grosso oggi è diventato fondamentale abilitare l’autenticazione forte meglio conosciuta come autenticazione a due fattori (2FA).
L’uso di password complesse e diverse per ogni singolo account dovrebbe ormai essere la base per ogni utente, che si iscrivere ad un nuovo servizio, ma e anche diventato indispenzabile usare strumenti di password manager, ( tra i più noti cito lastpass ) che ci permentono di ricordare/annotare le tante password (tutte diverse) che ci troviamo a gestire quotidianamente. Un modo sicuramente più sicuro delle semplici note dello smartphone 🤣
Anche se mettiamo in pratica queste semplici regole non è da escludere che una password possa essere facilmente rubata/scoperta anche per colpe non nostre. Ormai i cosiddetti data breach (Per data breach si intende la violazione dei dati è il rilascio intenzionale o non intenzionale di informazioni sicure o private/riservate in un ambiente non attendibile) sono all’ordine del giorno e milioni di password finiscono alla merce del mercato nero. (dark web)
Una cosa è certa l’autenticazione basata su una semplice password è troppo debole per garantire una adeguata sicurezza proprio per questo è stata introdotta l’autenticazione a due fattori.
Cos’è l’autenticazione a due fattori?
Per Multi-Factor Authentication si intende un’ulteriore misura di sicurezza volta a garantire la protezione dei nostri account. I primi sistemi ad utilizzare il 2FA sono stati quelli di home banking ma di certo non sono i soli a dover essere protetti adeguatamente soprattutto se sono account aziendali/personali nei quali sono condivisi dati privati. Se dovessi fare una classifica personale, su cosa proteggere al meglio, metterei al primo posto home banking al secondo gli account email e al terzo tutti i servizi cloud sui quali archiviamo file/documenti riservati e allo stesso piano ma anche tutti i profili social.
Per accedere, ad un semplice account, ci basta inserire uno username e poi dobbiamo dimostrare di essere realmente noi i possessori di quell’account. La vase di dimostrazione prende il nome di autenticazione e puo avvenire in tre differenti modi:
- Una cosa che sai = una semplice password, frase chiave, PIN o soluzione pattern-based.
- Una cosa che hai = un tokn identificativo installato sul tuo smartphone che puo essere o challenge/responde based o time, sequence o OTP based.
- Una cosa che sei = impronte digitali, impronta vocale, modello retinico, sequenza del DNA, calligrafia o altri sistemi di identificazione biometrica.
Se uno dei tuoi account si ferma solo al primo passo allora si tratta di un autenticazione ad un fattore. Si sale di livello se si usano almento due dei tre fattori che ho elencato prima ma attenzione perchè per poter definire una autenticazione a due fattori c’è bisogno che i due fattori utilizzati siano di matrice differente sostanzilmente “Una cosa che sai” più “Una cosa che hai” rappresentano la 2FA.
Ad oggi è gia anche disponibile la 3FA (autenticazione a tre fattori) ma che al momento viene impiegata solo nel Sistema Pubblico di Identità Digitale (SPID) ma quello di terzo livello è disponibile con Poste Italiane e Aruba. In questo caso l’autenticazione è: password -> App PosteID -> PIN/autenticazione biometrica.
2FA Come funziona praticamente?
L’uso quotidiano dell'2FA non è per niente complicato ne ci si perde tanto tempo per fare un passaggio in più proprio per questo non c’è alcun motivo per non utilizzarlo. Dopo aver completato l’autenticazione ad un fattore (banlmente avete inserito la vostra password) sarà richiesto l’inserimento del secondo fattore che, nel 90% dei casi, è un ulteriore codice ottenuto tramite lo smartphone (sotto forma di sms,tramite una app o anche token fisico).
Rispetto alla password il codice inserito non potrà essere attaccato in quanto è generato in maniera pseudocasuale secondo un algoritmo a scadenza. Proprio per questo motivo si definisce anche secondo fattore OTP: “one time password” cioè a tempo (di solito 30 secondi).
In alcuni casi il secondo fattore può anche essere biometrico a patto che tu abbia uno smarthone che supporti l’impronta digitale o il riconoscimento facciale.
Come ottenere il secondo fatore di autenticazione
La soluzione, più diffusa al momento, e la OTP sotto forma di codice numerico ecco dove possiamo ricevere questo codice:
-
Tramite gli SMS è possibile ricevere il secondo fattore di autenticazione è una modalità molto diffusa ma molto discutibile sull’aspetto sicurezza a causa della vulnerabilità del protocollo Signalling System No 7 (SS7) ma anche perchè e necessario che lo smartphone sia connesso alle rete cellulare (non è detto che ci sia sempre campo 🤣). Ma uno dei problemi cardini, di questo sistema, è la truffa di SIM Swap. Qualcuno avrà sentito parlare di questa pratica fraudolenta dopo il recente data breach di ho mobile per fortuna risoltosi con una rigenerazione di tutti gli ICCID coinvolti. il SIM Swap permette ad un malintenzionato di riuscire a trasferire da una SIM card a un’altra il numero di telefono diventanto proprietario di tale numero a scapito del legittimo proprietario questo permette di ricevere il secondo fattore di autenticazione per realizzare operazioni bancarie. Il legittimo propritariosi si troverà con il dispositivo senza rete cellulare ma potrebbe accorgersene troppo tardi cioè quando il conto corrente è ormai vuoto, EVITATE GLI SMS!.
-
Tramite applicazioni dedicate è possibile ricevere la seconda chiave di autenticazione a patto che il servizio, a cui volete accedere, lo supporta, come seconda chiave. Vi congilio caldamente di scegliere questa seconda opzione in quanto è molto più pratica,sicura e non richiede la copertura telefonica. Queste app sono nate in sostituzione dei primi token hardware, che venivano forniti dalle banche che generavano un OTP a 6 cifre associato ad un determinato account. Di applicazioni Soft Token ne esistono tante tra le più note (tutte gratuite) ci sono: Authy , Google Authenticator , Microsoft Authenticator . Anche alcuni password manager forniscono questa funzionalità (ma a pagamento).
- Con Token hardware è possibile eseguire il secondo passaggio di autenticazione ma attenzione il modello di Token hardware non è più quello fornito in passato della banche (ormai quasi del tutto dismessi) perchè ritenuti non più sicuri della Direttiva (UE) 2015/2366 (PSD2) in quanto potevano essere attivati senza alcun codice di sicurezza. I nuovi token sono basati sul nuovo standard FIDO U2F Security Key. Questo nuovo standard open source è stato realizzato da Google e Yubico e successivamente integrato nella FIDO (“Fast IDentity Online”) Alliance. Di questi token di nuova generazione ne esistono tanti modelli i più basici richiedono il semplice inserimento della chiavetta in una porta USB del pc. Inoltre sono presenti anche modelli più avanzati (YubiKey ) che operano anche con NFC (Near Field Communication) o anche via Bluetooth come le Titan Security Key di Google e quindi è possibile autenticarsi anche senza l’utilizzo di una porta fisica. Al momento si tratta di una standard non molto diffuso anche perchè il costo dei token è abbastanza elevato (intorno ai 40€) e i browser che supportano questa autenticazione sono ancora pochi (Chrome, Firefox ed Opera). L’adozione di questi token diventerà comunque molto diffusa in futuro considerando che sono gia conformi ai livelli crittografici più elevati, tra cui la FIPS 140-2 ed NIST SP800-63B. Personalmente ho acquistato la prima versione della FIDO U2F , nel 2014, quando ancora l’autenticazione a due fattore era relegata ai soli servizi bancari e account Google. In sei anni molti altri servizi hanno integrato l’uso di questo token, che ancora oggi sfrutto e non mi ha mai dato problemi. Con una maggiore diffusione del 2FA anche i prezzi dei token hardware diventeranno sicuramente più accessibili.
Come attivare l’autenticazione a due fattori
L’attivazione del 2FA è molto simile per tutti gli account: dopo esserti registrato al servizio, si accede alla pagina delle “Impostazioni di Sicurezza” (la dicitura potrebbe essere leggermente diversa ma comunque dovrebbe trovarsi sotto la sezione sicurezza/modificare password).
Una volta scelta l’attivazione del 2FA sarà necessario chiedere in che modo vogliamo ricevere il secondo codice di autenticazione. Tanti siti utilizzano come secondo fattore l’SMS, quindi dovremo indicare uno smartphone affidabile sul quale ricevere questo codice. Alcuni siti permettono di scegliere, in alternativa al codice via SMS, le applicazioni soft token in grado di generare il codice temporaneo. Se si sceglie questa seconda opzione l’abbinamento all’account viene fatto attraverso la lettura di un QRcode. Nella fase di attivazione sarà comunque fornito una chiave di recupero nel caso ci siano problemi con l’applicazione.
Attivato il sistema, ai successivi login, oltre a username e password, dovremo inserire il codice OTP a 6 cifre visualizzato dall’applicazione. C’è comunque da precisare che l’autenticazione a due fattori protegge dall’accesso a dispositivi nella quale facciamo il login per la prima volta è possibile che il sito riconosca che stiamo facendo un login da un device abituale e quindi non ci richieda il secondo fattore.
I servizi che permettono l’autenticazione a due fattori
Tralasciando i servizi di internet banking, che sostanzialmente impongono l’attivazione. È un’opzione facoltativa ma vi consiglio di attivarla anche per altri servizi a seguire vi lascio una lista dei servizi che supportano il 2FA e che a mio avviso devono essere adeguatamente protetti.
- Amazon Web Services
- App.net
- Apple ID
- Bitstamp
- Buffer
- Dropbox
- eBay
- Etrade
- Evernote
- GitHub
- GoDaddy
- HootSuite
- Lastpass
- LocalBitcoins
- Microsoft
- MtGox
- Outlook
- PayPal
- WordPress
- Yahoo! Mail
Questo articolo ti è stato utile? se si fammelo sapere con un commento qui sotto! 👇 😀