L’importanza di attivare l’autenticazione a due fattori
Cari lettori di Tecnogalaxy, oggi parleremo di quanto è importante avere l’autenticazione a due fattori, sia per la posta elettronica, per Facebook, Instagram etc…
L’autenticazione a due fattori detta anche (in gergo tecnico 2FA) è un metodo di autenticazione sicura per sistemi e piattaforme informatiche, consiste nell’utilizzo di due metodi invece che uno, ad esempio l’inserimento di una password e la scansione dell’impronta digitale. Molto spesso viene confusa con la verifica in due passaggi (2SV), non sono la stessa cosa però.
L’autenticazione a due fattori protegge efficacemente gli account perché alza il livello di sicurezza, rendendo più difficile l’accesso a malintenzionati e a utenti non autorizzati.
Cosa significa autenticazione a due fattori?
Per accedere a un sistema protetto l’utente deve ovviamente identificarsi e autenticarsi, nella maggior parte dei casi avviene inserendo la UserID (nome utente) e la Password (codice alfanumerico segreto)
Con il tempo i cyber criminali si sono evoluti compromettendo il sistema di autenticazione standard che è diventato non più sufficiente per proteggere i nostri account.
Proprio per questo motivo è stato inventato il concetto di autenticazione multifattoriale (in gergo tecnico MFA), che come dice la parola stessa prevede l’utilizzo di più fattori mentre facciamo l’autenticazione.
Questi fattori sono di tre tipi:
- Cosa che sappiamo, (come ad esempio una password)
- Una cosa che abbiamo, (ad esempio una smartcard o un altro dispositivo per l’autenticazione, come un generatore di token)
- Una cosa che siamo, ad esempio l’impronta digitale o un altro dato biometrico
L’autenticazione a due fattori come dice la parola stessa, è un metodo che combina l’utilizzo di due fattori di categorie ben diverse. Facciamo un esempio come processo di autenticazione a due fattori, lo facciamo tutti i giorni lo sblocco del telefono subito dopo l’accensione, inseriamo il PIN (è un qualcosa che sappiamo), o facciamo la scansione della propria impronta digitale (qualcosa che sei)
Con questa procedura il sistema è protetto da due livelli di sicurezza invece di uno e si riduce il rischio di accessi non autorizzati.
Ma ti sei chiesto che differenza c’è tra l’autenticazione a due fattori e la verifica in due passaggi?
Se sta leggendo questo articolo molto probabilmente non lo sai, vediamo come spiegartelo in parole semplici.
La verifica in due passaggi (in gergo tecnico 2SV) può utilizzare due fattori simili, diciamo appartenenti alla stessa categoria, facendo un esempio la maggior parte degli account e delle app richiede questa verifica (in due passaggi) , comprende l’inserimento di una password e durante il passaggio successivo (secondo passaggio), l’inserimento di un codice di sicurezza.
Questo codice può essere alfanumerico inviato per SMS, per email o app (io utilizzo Microsoft Authenticator ) o un codice QR, spesso questi codici hanno una scadenza, il che significa che il secondo passaggio della verifica deve essere completato entro un breve periodo di tempo dal primo. Il secondo elemento che utilizza la verifica è pur sempre un codice ritornando a prima (una cosa che sai) e non un dispositivo (una cosa che hai) o un dato biometrico (una cosa che sei) l’impronta digitale ad esempio. Proprio per questo motivo la verifica in due passaggi non deve essere confusa con l’autenticazione a due fattori, sottolineo che entrambi i metodi utilizzati sono sicuramente più sicuri rispetto all’autenticazione classica, ma il secondo lo è molto di più.
Se un malintenzionato volesse rubare le credenziali di un account che ha la protezione con la verifica in due passaggi, dovrebbe tentare un attacco con tool appositi, per scoprire la password.
Mentre con l’autenticazione a due fattori, lo stesso malintenzionato oltre al rubare la password, dovrà anche violare il secondo livello di sicurezza, impossessandosi della smart card di sicurezza in possesso dell’utente ad esempio, (molto più difficile se ci pensate). Alla fine se ci pensate l’autenticazione a due fattori avviene sempre in due passaggi, ma comprende fattori diversi tra loro.
Esempio che mette confusione con l’autenticazione a due fattori
Prendiamo un famoso gioco Fortnite , questo gioco promuove l’utilizzo dell’autenticazione a due fattori, in realtà il gioco offre ai suoi utenti due opzioni di verifica in due passaggi: password + codice di sicurezza inviato per email o tramite un’app di autenticazione.
Autenticazione a due fattori con password + token
Uno dei sistemi 2FA più sicuri è quello basato sui token, (stile banca ad esempio), un token è un piccolo dispositivo che ci consente di dimostrare la nostra identità, potrebbe essere una chiavetta di sicurezza USB come quelle prodotte da Yubico ad esempio, un dispositivo Bluetooth o un dispositivo integrato in alcuni modelli di smartphone.
Livelli di sicurezza informatica
L’autenticazione a due fattori ci aiuta a riflettere su cosa significa la parola sicurezza in ambito informatico. Come si fa a rendere più sicuro un sistema? Quando possiamo definire protetto un account? La risposta è che la sicurezza deve essere concepita come una serie di livelli e non come una condizione esclusiva, bianco o nero, sicuro o non sicuro. Un sistema è tanto più sicuro quanti più livelli di sicurezza devono essere superati per accedervi.
Ovviamente anche se implementiamo tutti questi controlli, dobbiamo ricordarci che siamo noi utenti ad avere la responsabilità di rendere sicuri i nostri sistemi e account. Di seguito vediamo come proteggere uno smartphone Android con 5 livelli di sicurezza:
- Primo livello: come già detto anche in altri articoli, installa un antivirus per smartphone
- Secondo livello: imposta un PIN
- Terzo livello: imposta l’autenticazione a due fattori con l’impronta digitale , (il Face ID su iPhone)
- Quarto livello: abilita il blocco delle app con password
- Quinto livello: identificazione e verifica in due passaggi per account e app, come ad esempio per WhatsApp, account Google, giochi etc…..
Come spiegato prima, anche impostando tutti questi 5 livelli di sicurezza, rimane il 6 livello (la persona), nella maggior parte delle truffe la persona umana è l’anello principale.
Se le persone che lo utilizzano non sono in grado di riconoscere un’email di phishing, un sms fake oppure condividono i propri dati personali su social media e chat, come ben capire non c’è sistema che tenga.
Ti ricordo di iscriverti al mio canale YouTube
Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.
Al prossimo articolo 😊
N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Giorgio Perego
IT Manager
Leggi anche:
- I vantaggi in termini di sicurezza derivanti dall’utilizzo delle VDR nelle transazioni immobiliari
- Cos’è il cashback: caratteristiche, utilità, settori
- Wire ha appena ricevuto un finanziamento di 30 milioni
- Woolsocks: Regali di Natale GRATIS
- Come effettuare il Librabet login ed ottenere i premi
Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!
Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.
Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.
© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.