Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la guida

Autenticazione a due fattori: cos’è, come e perché usarla (per Google, Facebook, Instagram e altri)

L’autenticazione a due o più fattori o strong authentication è oggi il sistema di protezione più sicuro che abbiamo a disposizione per proteggere i nostri account. Ecco come funziona, quali servizi la offrono e perché è importante usarla

13 Giu 2018

Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del CLUSIT, www.giorgiosbaraglia.it


Abbiamo detto e ribadito nei precedenti articoli l’importanza di usare password molto complesse e sempre diverse  e di usare un password manager per riuscire a ricordarle.

Abbiamo poi raccontato quanto siano pericolosamente insicure le domande di sicurezza, che invece di esserci d’aiuto, potrebbero diventare lo strumento per violare i nostri account.

Ma anche se mettiamo in pratica le buone regole sopra descritte, non possiamo escludere che una password venga rubata o scoperta. Magari non per causa nostra, ma potrebbe comunque succedere.

Ricordo quando nel 2016 esplose la notizia del data breach di Yahoo!: 500 milioni di account rubati a marzo 2014, poi messi in vendita nel 2016 da un hacker di nome “Peace”. Successivamente si seppe che gli account rubati erano addirittura tre miliardi, cioè la totalità degli utenti di Yahoo!

Anch’io ero tra questi, ma la notizia non mi creò alcuna preoccupazione, sebbene la mia password, come tutte le altre, fosse diventata pubblica.

Perché? Semplicemente perché nel mio account Yahoo! (come in molti altri) avevo attivato l’autenticazione a due fattori (ovviamente in questi casi è buona norma “igienica” cambiare la password, cosa che ho fatto subito nell’account Yahoo!).

Che cosa è l’Autenticazione a due fattori

Un’autenticazione basata solo su password è intrinsecamente debole, perché la sua sicurezza è legata ad un solo fattore, ad una sola protezione (la password).

Per innalzare i livelli di sicurezza sono state introdotte perciò le tecniche di “Strong Authentication” o autenticazione a due o più fattori.

Definita anche 2FA o MFA (Multi-Factor Authentication), rappresenta un’ulteriore sicurezza ed è oggi il sistema di protezione più sicuro che abbiamo a disposizione per proteggere i nostri account.

Come funziona l’autenticazione a due o più fattori

Per autenticarsi a sistemi digitali (computer, bancomat, siti web o altro) ci sono tre diversi metodi, dopo – ovviamente – aver inserito il nostro username:

  1. “Una cosa che sai”, per esempio una password o il PIN.
  2. “Una cosa che hai”, come uno smartphone o un token di sicurezza (quelle piccole “chiavette” che ci davano le banche e che generavano un codice a 6 cifre).
  3. “Una cosa che sei”, come l’impronta digitale, il timbro vocale, l’iride, o altre caratteristiche biometriche.

Le differenze tra MFA e password

La MFA utilizza almeno due dei tre fattori sopra elencati: dopo aver inserito la password (primo fattore) del proprio account, sarà richiesto di digitare un secondo fattore, che nella maggior parte dei casi è un pin o un codice, da ottenere grazie allo smartphone (sotto forma di sms o tramite un’apposita applicazione) o tramite un token fisico.

Si parla di 2FA se si usano due fattori e di 3FA se ne vengono richiesti tre (molto meno usata).

A differenza della password, questo secondo codice è di fatto inattaccabile, perché generato in maniera pseudocasuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30 secondi). Si chiama anche, per questo motivo, OTP: “one time password”.

Talvolta il secondo fattore è di tipo biometrico. Ne abbiamo un esempio nelle applicazioni per smartphone che ci forniscono le banche: per aprire l’app ed anche per eseguire operazioni dispositive (per esempio fare un bonifico), ci viene richiesta la seconda autenticazione con l’impronta digitale o con il riconoscimento facciale.

Come ottenere il secondo fattore di autenticazione di tipo numerico

Il codice numerico “one time password” è la soluzione più usata nella 2FA ed esistono tre modalità per ottenerlo:

  1. Con un Token hardware: sono disponibili secondo lo standard FIDO U2F Security Key. Trattasi di uno standard di autenticazione open source, sviluppato inizialmente da Google e da Yubico (in figura una U2F Security Key by Yubico). Non è certamente il sistema più pratico, né il più economico. Oltre ad avere un costo (non meno di 10 € per la chiavetta), l’attuale limite è lo scarso numero di servizi che ne fanno uso: oggi solo i browser Chrome, Firefox ed Opera lo supportano.
  2. Attraverso un SMS che ci viene inviato via smartphone: è la soluzione meno sicura, a causa della ormai nota vulnerabilità del protocollo Signalling System No 7 (SS7). Inoltre richiede di avere lo smartphone connesso alla rete cellulare.
  3. Utilizzando applicazioni dedicate. Quando il sito rende disponibile questa scelta (non è sempre così, talvolta esiste solo l’opzione con SMS), consiglio di sceglierla, perché è il metodo più pratico, non richiede la copertura telefonica ed è sicuro. Le applicazioni più note che fanno questo sono Authy, Google Authenticator, Microsoft Authenticator. La stessa 1Password, che abbiamo prima presentato tra i password manager, implementa questa funzionalità.

Le modalità di attivazione

La modalità di attivazione è – più o meno – sempre la stessa: dopo essersi registrati al sito, si accede alla pagina delle “Impostazioni di Sicurezza” (il nome può anche essere leggermente diverso, ma si tratta sempre della sezione dove andiamo, per esempio, per modificare la password).

Si sceglie di attivare la 2FA, dopodiché il sito ci chiederà in che modo vogliamo ricevere il codice: il metodo più diffuso in tutti i siti è attraverso un SMS, quindi dovremo indicare uno smartphone “affidabile” al quale ci verrà inviato il codice. Consiglio di registrare sempre DUE o più numeri di telefono, per maggior sicurezza (poi, ad ogni successivo invio, ci verrà chiesto di scegliere su quale dispositivo vogliamo ricevere il codice).

Alcuni siti permettono di scegliere, in alternativa al codice via SMS, l’uso delle succitate applicazioni in grado di generare il codice temporaneo (OTP). Come detto, se disponibile, è la scelta preferibile: in questo caso l’abbinamento viene fatto attraverso la lettura di un QRcode che compare sullo schermo del computer e che dovremo inquadrare con la camera dello smartphone.

Nella fase di attivazione dell’autenticazione a due fattori, in genere (ma ogni sito potrebbe avere comportamenti differenti) ci verrà data anche una chiave di recupero (molto complessa, da conservare a parte). Di regola per la 2FA si usano Password + Codice OTP, la chiave di recupero è la “soluzione di emergenza” da utilizzare solo in caso di: password dimenticata o dispositivo smarrito o rubato.

Ai successivi login, oltre a username e password, dovremo inserire il codice OTP a 6 cifre visualizzato dall’applicazione e che ogni 30 secondi verrà rigenerato (vedi figura).

Esiste – quasi in tutti i siti – una comoda opzione che ci permetterà di non dover più inserire nei login successivi il codice OTP: questa opzione si chiama in genere: “considera questo dispositivo attendibile” (o qualcosa di simile) e va attivata una tantum.

In pratica, poiché l’autenticazione a due fattori è finalizzata ad evitare accessi da computer o dispositivi diversi dai nostri, potremo fare in modo che il sito riconosca che stiamo facendo il login dal nostro “abituale” dispositivo e non ci richieda più il secondo fattore di autenticazione.

I servizi che offrono l’autenticazione a due fattori (Google, Facebook, Instagram…)

Ad eccezione dei servizi di internet banking, che ce la impongono, in tutti gli altri siti non siamo obbligati ad usare l’autenticazione a due fattori. È un’opzione facoltativa, ma che consiglio caldamente, almeno per i servizi più importanti quali, per esempio: Amazon, Apple ID (iCloud), Dropbox, Evernote, Facebook, Google, Instagram, LinkedIn, Microsoft, PayPal, Twitter, Yahoo!, WordPress.

Ce ne sono anche molti altri, si può consultare l’elenco completo (con visualizzazione delle opzioni disponibili).

Un altro vantaggio conseguente all’uso della 2FA: se la attiviamo, non ci verranno più chieste le deprecate domande di sicurezza. Un ottimo motivo in più per sceglierla!

@RIPRODUZIONE RISERVATA

Articolo 1 di 5