Che cos'è l'autenticazione a due fattori e perché è necessario utilizzarla?

Uno dei pensieri spaventosi dei giorni nostri, in cui i dati sono il nuovo petrolio, è la preoccupazione di compromettere gli account online o di perdere del tutto l'accesso ad essi. Sebbene diversi fattori possano essere attribuiti a questa preoccupazione, il più significativo di tutti è la mancanza di un'adeguata sicurezza in atto, che può essere suddivisa in negligenza e scarse pratiche di sicurezza che la maggior parte degli utenti finisce per seguire inavvertitamente/inavvertitamente.

Una via d'uscita da questa situazione è abilitare 2FA (autenticazione a due fattori) su tutti i tuoi account per rafforzare la loro sicurezza. In questo modo, anche se la tua password viene trapelata/hackerata, il tuo account non sarà ancora accessibile fino a quando non sarà convalidato dal secondo fattore (token di verifica 2FA).

Ma a quanto pare, molte persone non sembrano sfruttare 2FA o sono ignare della sua esistenza. Quindi, per semplificare le cose, ecco una guida sull'autenticazione a due fattori con le risposte ad alcune delle domande più comuni sulla 2FA.

Che cos'è l'autenticazione a due fattori (2FA)?

L'autenticazione a due fattori o 2FA è un tipo di meccanismo di autenticazione a più fattori (MFA) che aggiunge un ulteriore livello di sicurezza al tuo account, un secondo fattore, nel caso di 2FA, per autenticare i tuoi accessi.

Idealmente, quando accedi a un account utilizzando il tuo nome utente e password, la password funge da primo fattore di autenticazione. Ed è solo dopo che il servizio ha verificato la correttezza della password inserita che ti consente di accedere al tuo account.

Uno dei problemi con questo approccio è che non è il più sicuro: se qualcuno si impossessa della password del tuo account, può facilmente accedere e utilizzare il tuo account. È proprio qui che entra in gioco la necessità di un secondo fattore.

Un secondo fattore, che può essere impostato in diversi modi, aggiunge un ulteriore livello di autenticazione al tuo account al momento dell'accesso. Con esso abilitato, quando inserisci la password corretta per il tuo account, ti viene richiesto di inserisci il codice di verifica, valido per un periodo di tempo limitato, per verificare la tua identità. Dopo la verifica riuscita, ti viene concesso l'accesso all'account.

A seconda del servizio che implementa il meccanismo, la 2FA a volte può anche essere affrontata come verifica in due passaggi (2SV), come nel caso di Google. Tuttavia, oltre alla differenza di nome, il principio di lavoro dietro entrambi rimane lo stesso.

Come funziona l'autenticazione a due fattori (2FA)?

Come accennato nella sezione precedente, l'autenticazione a due fattori prevede l'utilizzo di un secondo fattore (oltre al primo fattore: password) per completare un controllo dell'identità al momento del login.

A tal fine, le app e i servizi che implementano la 2FA richiedono che l'utente finale verifichi almeno due dei seguenti fattori (o prove) prima che possa accedere e iniziare a utilizzare un servizio:

io. Conoscenza – qualcosa che conosci
ii. Possesso : qualcosa che hai
iii. Inerenza – qualcosa che sei

Per darti un'idea migliore di ciò che costituisce questi diversi fattori, nella maggior parte degli scenari, il fattore Conoscenza può essere, ad esempio, la password o il PIN del tuo account, mentre il fattore Possesso può includere qualcosa come una chiave di sicurezza USB o un telecomando di autenticazione e l' Inerenza il fattore può essere la tua biometria: impronta digitale, retina, ecc.

Una volta che hai impostato e eseguito 2FA su uno qualsiasi dei tuoi account, devi inserire uno dei due fattori di verifica, tra Possession e Inherence , oltre al fattore Conoscenza , per verificare la tua identità sul servizio al momento di accesso.

Quindi, a seconda di cosa vuoi proteggere e del servizio che stai utilizzando, hai due opzioni per scegliere il tuo secondo meccanismo di autenticazione preferito. Puoi utilizzare Possession : qualsiasi chiave di sicurezza fisica o un'app di generazione di codici sul tuo smartphone, che ti fornisce un token monouso che puoi utilizzare per verificare la tua identità . Oppure puoi fare affidamento su Inherence : verifica facciale e simili , forniti da alcuni servizi in questi giorni, come secondo fattore di verifica della sicurezza per il tuo account.

L'autenticazione a due fattori è infallibile? Ci sono degli svantaggi nell'usare 2FA?

Ora che hai compreso cos'è l'autenticazione a due fattori e come funziona, diamo un'occhiata più da vicino alla sua implementazione e agli svantaggi (se presenti) dell'utilizzo sul tuo account.

Per cominciare, mentre il consenso sull'utilizzo dell'autenticazione a due fattori tra la maggior parte degli esperti è nel complesso positivo e induce le persone ad abilitare la 2FA sui propri account, ci sono sicuramente alcune carenze nell'implementazione del meccanismo che impediscono che sia una soluzione infallibile.

Queste carenze (o meglio vulnerabilità) sono principalmente il risultato di una cattiva implementazione 2FA da parte dei servizi che le utilizzano, che possono, di per sé, essere viziate a vari livelli.

Per darti un'idea di un'implementazione 2FA debole (leggi inefficace), considera uno scenario in cui hai abilitato 2FA sul tuo account utilizzando il tuo numero di cellulare. In questa configurazione, il servizio ti invia un OTP tramite SMS che devi utilizzare per verificare la tua identità. Tuttavia, poiché il secondo fattore viene inviato tramite il vettore in questa situazione, è soggetto a vari tipi di attacchi e quindi non è sicuro di per sé. Di conseguenza, tale implementazione non può essere efficace come dovrebbe essere nel proteggere il tuo account.

Oltre allo scenario sopra, ci sono molte altre situazioni in cui 2FA potrebbe essere vulnerabile a tutti i tipi di attacchi. Alcune di queste situazioni includono casi in cui un sito Web/app che incorpora il meccanismo: ha un'implementazione distorta per la verifica dei token; manca di un limite di velocità che possa consentire a qualcuno di entrare con la forza bruta nell'account; consente l'invio ripetuto della stessa OTP; si basa, tra gli altri, su un controllo di accesso improprio per i codici di backup. Tutto ciò può portare a vulnerabilità che possono consentire a qualcuno, con le giuste conoscenze e competenze, di orientarsi attorno al meccanismo 2FA mal implementato e ottenere l'accesso all'account mirato.

Allo stesso modo, un altro scenario in cui 2FA può essere problematico è quando lo usi in modo negligente. Ad esempio, se hai abilitato l'autenticazione a due fattori su un account utilizzando un'app generatore di codice e decidi di passare a un nuovo dispositivo ma dimentichi di spostare l'app di autenticazione sul nuovo telefono, puoi essere completamente bloccato fuori dal tuo account. E a sua volta, potresti trovarti in una situazione in cui può essere difficile recuperare l'accesso a tali account.

Un'altra situazione in cui la 2FA a volte può farti del male è quando usi gli SMS per ottenere il tuo token 2FA. In questo caso, se viaggi e ti sposti in un luogo con scarsa connettività, potresti finire per non ricevere il token monouso tramite SMS, il che può rendere temporaneamente inaccessibile il tuo account. Per non parlare del fatto che cambi operatore e hai ancora il vecchio numero di cellulare collegato a diversi account per 2FA.

Tuttavia, con tutto ciò detto, c'è un fattore cruciale in gioco qui, ovvero che, poiché la maggior parte di noi è un utente Internet medio e non utilizza i nostri account per casi d'uso discutibili, è molto improbabile che un hacker prenda di mira il nostro conti come potenziali attacchi. Una delle ragioni ovvie di ciò è che un account di un utente medio non è abbastanza esca e non offre molto da guadagnare a qualcuno per spendere il proprio tempo e le proprie energie per eseguire un attacco.

In uno scenario del genere, si finisce per ottenere il meglio dalla sicurezza 2FA piuttosto che imbattersi in alcuni dei suoi svantaggi estremi, come affermato in precedenza. In breve, i vantaggi della 2FA superano gli svantaggi per la maggior parte degli utenti, ammesso che la utilizziate con attenzione.

Perché dovresti usare l'autenticazione a due fattori (2FA)?

Man mano che ci iscriviamo a sempre più servizi online, stiamo, in qualche modo, aumentando le probabilità che i nostri account vengano compromessi. A meno che, ovviamente, non siano in atto controlli di sicurezza per garantire la sicurezza di questi account e tenere a bada le minacce.

Negli ultimi anni, le violazioni dei dati di alcuni dei servizi più diffusi (con un'enorme base di utenti) hanno fatto trapelare tonnellate di credenziali utente (indirizzi e-mail e password) online, il che ha messo a rischio la sicurezza di milioni di utenti in tutto il mondo, consentendo a un hacker (o qualsiasi persona con il know-how) di utilizzare le credenziali trapelate per accedere a questi account.

Anche se questo è di per sé una grande preoccupazione, le cose peggiorano quando questi account non dispongono dell'autenticazione a due fattori, poiché ciò rende l'intero processo semplice e non sofisticato per un hacker. Pertanto, consentendo una facile acquisizione.

Tuttavia, se utilizzi l'autenticazione a due fattori sul tuo account, ti ritroverai con un ulteriore livello di sicurezza, che è difficile da aggirare poiché utilizza il fattore di possesso ( qualcosa che solo tu hai ): un token OTP o generato da app/telecomando —per verificare la tua identità.

In effetti, gli account che richiedono un passaggio in più per entrare di solito non sono quelli sul radar degli attaccanti (soprattutto negli attacchi su larga scala) e sono, quindi, relativamente più sicuri di quelli che non utilizzano 2FA. Detto questo, non si può negare il fatto che l'autenticazione a due fattori aggiunge un passaggio in più al momento dell'accesso. Tuttavia, la sicurezza e la tranquillità che ottieni in cambio valgono senza dubbio la seccatura.

Lo scenario sopra menzionato è solo uno dei tanti diversi casi in cui avere 2FA abilitato sul tuo account può rivelarsi vantaggioso. Ma detto questo, vale la pena ricordare ancora una volta che, anche se 2FA aumenta la sicurezza del tuo account, non è nemmeno una soluzione infallibile e quindi deve essere implementata correttamente dal servizio; per non parlare della corretta configurazione da parte dell'utente, che dovrebbe essere eseguita con attenzione (facendo un backup di tutti i codici di ripristino) per far funzionare il servizio a tuo favore.

Come implementare l'autenticazione a due fattori (2FA)?

A seconda dell'account che desideri proteggere con l'autenticazione a due fattori, devi seguire una serie di passaggi per abilitare 2FA sul tuo account. Che si tratti di alcuni dei popolari siti di social networking come Twitter, Facebook e Instagram; servizi di messaggistica come WhatsApp; o anche il tuo account di posta elettronica; questi servizi offrono la possibilità di abilitare 2FA per migliorare la sicurezza del tuo account.

A nostro avviso, sebbene l'utilizzo di password complesse e univoche per tutti i diversi account sia rudimentale, non dovresti ignorare l'autenticazione a due fattori ma piuttosto trarne vantaggio se un servizio fornisce la funzionalità, in particolare per il tuo account Google, che è collegato a la maggior parte degli altri tuoi account come opzione di recupero.

Parlando del metodo migliore per abilitare l'autenticazione a due fattori, uno dei modi più sicuri consiste nell'utilizzare una chiave hardware che genera codice a intervalli fissi. Tuttavia, per un utente medio, anche le app per la generazione di codice di Google, LastPass e Authy dovrebbero funzionare perfettamente. Inoltre, al giorno d'oggi, ottieni alcuni gestori di password che offrono sia un deposito che un generatore di token, il che lo rende ancora più conveniente per alcuni.

Sebbene la maggior parte dei servizi richieda una serie simile di passaggi per abilitare l'autenticazione a due fattori, puoi consultare la nostra guida su come abilitare 2FA sul tuo account Google e su altri siti Web di social media per scoprire come impostare correttamente la sicurezza dell'autenticazione a due fattori su il tuo account. E mentre lo fai, assicurati di avere una copia di tutti i codici di backup in modo da non rimanere bloccato fuori dal tuo account nel caso in cui non ricevi token o perdi l'accesso al generatore di token.