Oggi possiamo confermare tutti quanto il digitale e lo smartphone siano diventati uno strumento pervasivo nelle nostre vite, sia nel lavoro che nel privato. Utilizziamo decine di account e app su smartphone e PC non solo per chiamare, utilizzare chattare, controllare i feed dei social, ma anche per l’online banking, per effettuare acquisti o avviare la lavatrice mentre siamo ancora fuori casa.
Avere account digitali protetti da password sicure secondo criteri noti ha sempre più una priorità maggiore. Se si parla di dati sensibili e personali, come può essere l’online banking, i servizi di pagamento o l’archiviazione su cloud, è altamente consigliabile un ulteriore livello di protezione. Sono già molte le aziende che offrono l’autenticazione a due fattori da Facebook a PayPal a Google per citare solo le più famose. Si tratta di un procedimento che prevede l’uso congiunto di più metodi di autenticazione individuale. Scopriamo di più sul funzionamento e sul livello di sicurezza offerto dall’autenticazione a due fattori (2FA).
Cos’è l’autenticazione a due fattori (2FA)?
Al fine di proteggersi da accessi non autorizzati, l’autenticazione a due fattori permette una maggiore sicurezza per la protezione dei propri account. L’autenticazione si basa non solo un nome utente e password ma aggiungere un ulteriore metodo di autenticazione sulla base di criteri quali: conoscenze (la password, la risposta a una domanda), possesso (uno smartphone o un token hardware) o caratteristiche personali (impronta digitale o iride). L’autenticazione con il secondo fattore prevede l’invio di una OTP (one-time password) solitamente composta da sei o otto cifre disponibile per un breve lasso di tempo come circa 30 secondi.
Perché la password non offre un livello di sicurezza sufficiente?
Delle password sicure e complesse sono il requisito essenziale per la sicurezza digitale. Puoi scoprire come creare una password sicura nel nostro articolo: “È possibile creare una password veramente sicura?”.
Ricordare password complesse non è di certo facile, motivo per cui molti si affidano ai gestori di password o le annotano su carta. Senza dimenticare il pericolo keylogger, software in grado di leggere e registrare le sequenze dei tasti. Ecco come un hacker può comunque ottenere facilmente la vostra password nonostante un alto grado di difficoltà. Il rischio è ancora maggiore quando si utilizzano reti pubbliche come ad esempio Wi-Fi in un bar, nei mezzi pubblici o computer nelle biblioteche o in un Internet café. Ecco perché risulta necessario un procedimento “più complesso” che garantisca una maggiore sicurezza per effettuare i login nei propri account.
Perché non basta il nome utente come fattore 2FA?
Un nome utente, il nome di una persona o di un’organizzazione o un indirizzo e-mail, non sono da considerarsi un elemento volto alla sicurezza. Il nome utente svolge un mero ruolo di “etichetta” o “identificatore personale”. È un’informazione possibilmente nota, disponibile pubblicamente o che può comunque essere indovinata. Il nome utente svolge il ruolo di identificatore a cui vanno assegnati uno o due fattori aggiuntivi per ottenere un’autenticazione sicura. Per utilizzare l’2FA (Two-factor authentication), è necessario che l’utente imposti i due fattori con il fornitore del servizio. Naturalmente le informazioni dovrebbero sempre essere trasmesse tramite connessione sicura, ad esempio HTTPS. Dopo aver attivato l’autenticazione a due fattori non è più possibile accedere solo con nome utente e password dal momento che è sempre richiesto un secondo fattore. È possibile comunque reimpostare il login su un solo livello di sicurezza.
Perché la casella elettronica non è un mezzo sicuro?
Così come il nome utente, l’indirizzo e-mail è da considerarsi spesso un identificatore personale utilizzato da una persona. Al pari dello smartphone che viene utilizzato per ricevere un SMS, nella casella elettronica si ricevono dei messaggi elettronici. A differenza dello smartphone che si possiede fisicamente nel mondo offline, la posta elettronica è uno strumento di Internet e soffre dei più comuni problemi legati alla sicurezza digitale. Il “possesso” di un indirizzo e-mail non può dunque essere comparato a quello di uno smartphone. Ecco perché viene perlopiù escluso come metodo per l’2FA.
I metodi utilizzati per l’autenticazione a due fattori
Per utilizzare questa modalità di sicurezza per proteggere i tuoi account, esistono diversi metodi che si basano sulla conoscenza, il possesso di un hardware o delle caratteristiche fisiche della persona. Vediamo qui nel dettaglio quali sono gli strumenti a disposizione e come vengono utilizzati ai fini dell’autenticazione a due fattori.
SMS su smartphone
Il token per il secondo livello di protezione viene spesso inviato a un dispositivo mobile tramite SMS. Questo è un metodo molto comodo e facile da usare. Tuttavia, presenta alcuni svantaggi: le notifiche vengono spesso visualizzate anche nella schermata di blocco dello smartphone, il che significa che il token può essere letto anche da terzi non autorizzati. Inoltre, le SIM possono essere duplicate tramite il Social Engineering e la rete su cui si basa la comunicazione del telefono cellulare può essere interrotta. Anche gli SMS possono essere facilmente intercettati dai malintenzionati. Insomma, l’uso degli SMS è sicuramente facile e comodo per l’utente, ma non è il più sicuro.
App su smartphone
Oggi è disponibile un’ampia gamma di app che consentono l’autenticazione a due fattori, come ad esempio Google Authenticator o Yandex.Key. Queste app hanno alla base lo stesso funzionamento: consentono la generazione di un token monouso. Il metodo si rivela particolarmente vantaggioso poiché il suo funzionamento prescinde da una connessione telefonica. L’unico problema di questo metodo è la possibile perdita dello smartphone o un suo difetto che ne impedisce l’utilizzo. Sarà necessario rivolgersi al fornitore del servizio ed eliminare o reimpostare l’autenticazione a due fattori.
Quale app scegliere per l’autenticazione a due fattori? Si consiglia sempre un’app open source, ovvero un’applicazione che rende pubblico il proprio codice sorgente. Ciò permette di tracciare le eventuali modifiche dello sviluppatore e non vengono invece nascoste utilizzando un backdoor. Questo controllo indipendente aumenta notevolmente il controllo dell’app.
Token hardware
I token hardware sono metodi per l’autenticazione a due fattori utilizzati molto nell’online banking e nel campo della finanza. Si tratta di piccoli dispositivi hardware che calcolano internamente i token. Questo sistema ha principalmente un vantaggio: i token sono memorizzati offline e quindi non legati a possibili rischi legati alla sicurezza digitale.
Funzioni biometriche
Negli ultimi anni si stanno affermando sempre più altri metodi basati su caratteristiche uniche della persona. Parliamo ad esempio dell’impronta digitale o della lettura dell’iride. Molti smartphone ormai dispongono di scanner di impronte digitali incorporati così da poter essere utilizzati come un livello aggiuntivo di protezione totalmente personale.
Qual è il livello di sicurezza dell’autenticazione a due fattori?
Il livello di sicurezza garantito dall’2FA varia notevolmente e dipende sempre dal metodo utilizzato.
L’utilizzo degli SMS è quello meno sicuro poiché presenta i maggiori rischi di intercettazione. L’hacker può impiegare un trojan lanciato sullo smartphone, può riuscire a ottenere una seconda scheda SIM dal provider di telefonia tramite il numero. Resta il fatto che l’utilizzo dell’2FA con gli SMS rappresenta comunque un maggiore livello di sicurezza rispetto a non utilizzo.
Anche le app di autenticazione non sono sicure al 100%. Se l’aggressore è riuscito ad accedere in remoto al dispositivo, ad esempio grazie a un malware, non avrà problemi ad accedere al secondo fattore di sicurezza o addirittura generare lui stesso i token.
La massima sicurezza è offerta dai token hardware, i quali spesso sono anch’essi protetti da un codice PIN che offre un ulteriore livello di sicurezza a livello locale. Il tutto in un ambiente offline e quindi non manomissibile digitalmente.
Perché utilizzare 2FA?
L’autenticazione a due fattori offre un maggiore livello di protezione efficace contro il furto di dati. Sono troppi gli utenti che hanno ancora un atteggiamento poco responsabile in materia di sicurezza digitale e che non trattano nomi utente e password in modo opportuno. Aggiungere un livello di protezione non fa che permettere di tutelare al meglio i propri account.
