Le password e l’autenticazione a due fattori
Cari lettori di Tecnogalaxy, oggi parleremo di quanto è importante avere l’autenticazione a due fattori, sia per la posta elettronica, per Facebook, Instagram etc… Oggi giorno l’utilizzo delle password è diventato ancora più importante e delicato, visto che tutti i portali che normalmente utilizziamo richiedono nella maggior parte dei casi una password.
Sul web possiamo trovare dizionari che contengono tutte le password più utilizzate al mondo, inoltre per decidere la propria password, possiamo avvalerci ad esempio di un portale online che controlla la sicurezza della password scelta e ci dice se è già stata violata.
Per comodità, superficialità o pigrizia tendiamo a utilizzare password facili da memorizzare e di ripeterle uguali per l’accesso a diversi servizi. Niente di più sbagliato perchè è come lasciare le chiavi di casa attaccate alla porta.
La password più utilizzata (fonte Splash Data) è: 123456 (al primo posto dal 2013)
Poi troviamo: password – 12345678 – qwerty –12345 – 123456789 – letmein – 1234567 –football –iloveyou
Prima di esaminare le regole per una password sicura, guardiamo COME le password vengono scoperte.
Le tecniche per scoprire le nostre password sono più d’una e talvolta veramente banali:
Ingegneria sociale: ad esempio phishing, Password Sniffing, vedremo nel dettaglio nel prossimo capitolo queste tecniche.
Indovinando le password: utilizzando informazioni personali come nome, data di nascita o nomi di animali domestici.
Attacco “brute force”: la prova automatica di un gran numero di password fino a quando viene trovata quella giusta, tutto questo tramite tool specifici.
Intercettazione di una password: è frequente la pessima abitudine di comunicare password via email.
Shoulder surfing: osservando qualcuno alle spalle (“shoulder”) mentre digita la password.
Installando un keylogger: tramite un software apposito vengono intercettare le password mentre si digita la tastiera.
Memorizzazione password: scrivere le password su un foglietto appiccicato sul monitor o salvate su un file di word (ovviamente denominato “Password”!).
Compromettendo un database: quando viene effettuato un attacco informatico e viene violato un database che contiene le password, tale password verranno poi subito utilizzate per attaccare altri sistemi dove gli utenti hanno riutilizzato le stesse password.
Come si scrive e controllare una password forte
Grazie ad alcuni siti possiamo testare la robustezza della nostra password e verificare se è stata compromessa.
Accedendo a questo link https://www.digitale.co/password-check possiamo inserire la password scelta e verificare il test.
Una password sicura è caratterizzata da:
Lunghezza: consigliabile usare almeno 12 caratteri
Tipi di caratteri usati: Numeri (0-9) = 10 tipi
Lettere = 52 tipi (26 minuscole + 26 maiuscole)
Caratteri speciali da tastiera (cioè quelli direttamente presenti sulle tastiere, per es.: # &%?^ ecc. = 33 tipi
Se facciamo un totale abbiamo a disposizione 95 tipi di caratteri da utilizzare, (consigliabile usarli tutti), perché aumentando i tipi dei caratteri il numero delle combinazioni cresce in modo esponenziale.
Vediamo alcuni esempi di password e spieghiamo perché non sono poi così sicure (tranne una!):
| Password | Sicura? | Perché |
| 987654321 | NO | Sequenza Numerica |
| precipitevolissimevolmente | NO | Parola a dizionario |
| 01101952 | NO | Data di nascita |
| password | NO | Parola a dizionario |
| 1q2 w3e4r | NO | Sequenza su tastiera (a zig-zag su due righe) |
| T3L3VI510N3 | NO | Modificazione (ovvia!) della parola TELEVISIONE |
| rtuoiry55TyUo77# | SÌ | Combinazione casuale |
L’autenticazione a due fattori
L’autenticazione a due fattori detta anche (in gergo tecnico 2FA) è un metodo di autenticazione sicura per sistemi e piattaforme informatiche, consiste nell’utilizzo di due metodi invece che uno, ad esempio l’inserimento di una password e la scansione dell’impronta digitale. Molto spesso viene confusa con la verifica in due passaggi (2SV), non sono la stessa cosa però.
L’autenticazione a due fattori protegge efficacemente gli account perché alza il livello di sicurezza, rendendo più difficile l’accesso a malintenzionati e a utenti non autorizzati.
Cosa significa autenticazione a due fattori
Per accedere a un sistema protetto l’utente deve ovviamente identificarsi e autenticarsi, nella maggior parte dei casi avviene inserendo la UserID (nome utente) e la Password (codice alfanumerico segreto)
Con il tempo i cyber criminali si sono evoluti compromettendo il sistema di autenticazione standard che è diventato non più sufficiente per proteggere i nostri account.
Proprio per questo motivo è stato inventato il concetto di autenticazione multifattoriale (in gergo tecnico MFA), che come dice la parola stessa prevede l’utilizzo di più fattori mentre facciamo l’autenticazione.
Questi fattori sono di tre tipi:
- Cosa che sappiamo, (come ad esempio una password)
- Una cosa che abbiamo, (ad esempio una smartcard o un altro dispositivo per l’autenticazione, come un generatore di token)
- Una cosa che siamo, ad esempio l’impronta digitale o un altro dato biometrico
L’autenticazione a due fattori come dice la parola stessa, è un metodo che combina l’utilizzo di due fattori di categorie ben diverse. Facciamo un esempio come processo di autenticazione a due fattori, lo facciamo tutti i giorni lo sblocco del telefono subito dopo l’accensione, inseriamo il PIN (è un qualcosa che sappiamo), o facciamo la scansione della propria impronta digitale (qualcosa che sei)
Con questa procedura il sistema è protetto da due livelli di sicurezza invece di uno e si riduce il rischio di accessi non autorizzati.
Che differenza c’è tra l’autenticazione a due fattori e la verifica in due passaggi
Se stai leggendo questo articolo molto probabilmente non lo sai, vediamo come spiegartelo in parole semplici.
La verifica in due passaggi (in gergo tecnico 2SV) può utilizzare due fattori simili, diciamo appartenenti alla stessa categoria, facendo un esempio la maggior parte degli account e delle app richiede questa verifica (in due passaggi) , comprende l’inserimento di una password e durante il passaggio successivo (secondo passaggio), l’inserimento di un codice di sicurezza.
Questo codice può essere alfanumerico inviato per SMS, per email o app (io utilizzo Microsoft Authenticator ) o un codice QR, spesso questi codici hanno una scadenza, il che significa che il secondo passaggio della verifica deve essere completato entro un breve periodo di tempo dal primo. Il secondo elemento che utilizza la verifica è pur sempre un codice ritornando a prima (una cosa che sai) e non un dispositivo (una cosa che hai) o un dato biometrico (una cosa che sei) l’impronta digitale ad esempio. Proprio per questo motivo la verifica in due passaggi non deve essere confusa con l’autenticazione a due fattori, sottolineo che entrambi i metodi utilizzati sono sicuramente più sicuri rispetto all’autenticazione classica, ma il secondo lo è molto di più.
Se un malintenzionato volesse rubare le credenziali di un account che ha la protezione con la verifica in due passaggi, dovrebbe tentare un attacco con tool appositi, per scoprire la password.
Mentre con l’autenticazione a due fattori, lo stesso malintenzionato oltre al rubare la password, dovrà anche violare il secondo livello di sicurezza, impossessandosi della smart card di sicurezza in possesso dell’utente ad esempio, (molto più difficile se ci pensate). Alla fine se ci pensate l’autenticazione a due fattori avviene sempre in due passaggi, ma comprende fattori diversi tra loro.
Esempio che mette confusione con l’autenticazione a due fattori
Prendiamo un famoso gioco Fortnite , questo gioco promuove l’utilizzo dell’autenticazione a due fattori, in realtà il gioco offre ai suoi utenti due opzioni di verifica in due passaggi: password + codice di sicurezza inviato per email o tramite un’app di autenticazione.
Autenticazione a due fattori con password + token
Uno dei sistemi 2FA più sicuri è quello basato sui token, (stile banca ad esempio), un token è un piccolo dispositivo che ci consente di dimostrare la nostra identità, potrebbe essere una chiavetta di sicurezza USB come quelle prodotte da Yubico ad esempio, un dispositivo Bluetooth o un dispositivo integrato in alcuni modelli di smartphone.
L’autenticazione a due fattori ci aiuta a riflettere su cosa significa la parola sicurezza in ambito informatico. Come si fa a rendere più sicuro un sistema? Quando possiamo definire protetto un account? La risposta è che la sicurezza deve essere concepita come una serie di livelli e non come una condizione esclusiva, bianco o nero, sicuro o non sicuro. Un sistema è tanto più sicuro quanti più livelli di sicurezza devono essere superati per accedervi.
Ovviamente anche se implementiamo tutti questi controlli, dobbiamo ricordarci che siamo noi utenti ad avere la responsabilità di rendere sicuri i nostri sistemi e account. Di seguito vediamo come proteggere uno smartphone Android con 5 livelli di sicurezza:
Primo livello: come già detto anche in altri articoli, installa un antivirus per smartphone
Secondo livello: imposta un PIN
Terzo livello: imposta l’autenticazione a due fattori con l’impronta digitale , (il Face ID su iPhone)
Quarto livello: abilita il blocco delle app con password
Quinto livello: identificazione e verifica in due passaggi per account e app, come ad esempio per WhatsApp, account Google, giochi etc…..
Come spiegato prima, anche impostando tutti questi 5 livelli di sicurezza, rimane il 6 livello (la persona), nella maggior parte delle truffe la persona umana è l’anello principale.
Se le persone che lo utilizzano non sono in grado di riconoscere un’email di phishing, un sms fake oppure condividono i propri dati personali su social media e chat, come ben capire non c’è sistema che tenga.
Cos’è Last Pass
Per poter gestire le proprie password invece di scriverle su un file, possiamo utilizzare dei software specifici, in questo caso parleremo di Last Pass e di come funziona.
LastPass è uno dei password manager più popolari e utilizzati dagli utenti, si occupa di memorizzare le password e porle all’interno di una cassaforte virtuale personale accessibile solo dal titolare dell’account attraverso la “Master Password“.
In pratica ricordando una sola password possiamo tenere al sicuro tutte le password utilizzate su siti web e applicazioni.
LastPass è disponibile come estensione per molti browser Web, tra cui Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge e Opera ma sono disponibili anche app per smartphone (Android, iOS) e app per Windows e Mac. In tutti i casi, è possibile utilizzarle anche in mancanza di accesso a internet.
I dati di un utente in LastPass, (incluse password e note sicure), sono protetti da una password principale (chiamata “Master Pssweord”) e il contenuto è sincronizzato su qualsiasi dispositivo su cui l’utente utilizza l’app LastPass o le sue estensioni per browser web.
La cosa importante è che le informazioni sono crittografate con crittografia AES-256 con PBKDF2 SHA-256, una cosa molto importante a livello di sicurezza è che la crittografia e la decifrazione avvengono a livello di dispositivo.
LastPass supporta l’autenticazione a due fattori tramite vari metodi, tra cui le app LastPass Authenticator, Google Authenticator e Authy per smartphone e le chiavi fisiche YubiKey.
Come funziona LastPass
L’utilizzo di LastPass è molto semplice, come prima cosa dobbiamo creare un’account dal sito web e scegliere la Master Password (è consigliabile sceglierla quanto più lunga e complessa possibile visto che è l’unico modo di accedere alla cassaforte). Una volta creato l’account, bisogna incominciare a “depositare” i dati come password, numeri di carte di credito, note sensibili o anche documenti all’interno della cassaforte.
Nel caso dei siti web, LastPass permette di creare un mini documento in cui sono presenti l’URL del sito, il nome utente da utilizzare e la password. Se si sta registrando un account già esistente bisogna inserire la password che si è scelta ma, nel caso in cui si tratti di un nuovo account, è possibile far generare al gestore una password casuale di lunghezza variabile e contenente lettere minuscole e maiuscole, numeri e caratteri speciali.
Il software è disponibile nella versione free e in quella a pagamento, nella versione free sono presenti molte funzionalità, mentre quella a pagamento ovviamente essendo tale ha tutte le opzioni attive.
Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.
Al prossimo articolo 😊
N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Giorgio Perego
IT Manager
Leggi anche:
- Le migliori app per il fantacalcio
- Ecco Airis l’AI implementata in SigmaOS
- Cos’è il SubReddit r\Place
- L’IA sta cambiando il nostro mondo
- Il Phishing Wireless
Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!
Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.
Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.
© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.