L’Autenticazione a Due Fattori, o 2FA, è attualmente uno dei metodi più sicuri per proteggere i nostri account. Ma come funziona? Come si attiva ed è davvero così performante? Scopriamo insieme come mettere al sicuro i nostri accessi!
Autenticazione a Due Fattori: di cosa parliamo?
L’Autenticazione a Due Fattori è un metodo di autenticazione che consiste nell’utilizzo incrociato di due metodologie di, appunto, autenticazione. L’idea dietro il 2FA è abbastanza semplice: l’accesso ad un determinato account non si effettua collegando tra di loro due tipologie di dati, bensì tre.
Il terzo “attore”, in questo caso, è un codice OTP (one time password) generato unicamente e temporaneamente per quell’account, tramite un Token o un programma apposito.
Perchè abbiamo bisogno di un’ulteriore protezione?
La domanda è tanto semplice, quanto la risposta ancora più scontata. Attivare l’Autenticazione a Due Fattori dovrebbe essere una prassi standard per tutti gli account in nostro possesso. Spesso, però, questa azione non può essere intrapresa perché il sito o il servizio che richiede un account non fornisce questo sistema di sicurezza.
Molte volte, invece, il motivo per cui non si attiva una autenticazione 2FA risiede proprio nell’utente: quel passaggio in più da effettuare, risulta per molti abbastanza tedioso. Purtroppo non si comprendono, a fondo, le potenzialità di questa ulteriore misura di sicurezza e, sfortunatamente, lo si capisce quando è troppo tardi.
Secondo una stima rivelata da Troy Hunt proprietario di Have I Been Pwned, famosissimo sito che si occupa di data breach, dal 2013 ad oggi circa 9 miliardi di account sono stati violati.
Ciò significa che, potenzialmente, dei malitenzionati hanno accesso a quegli account se non ci si accorge in tempo debito della violazione. Possiamo quindi dedurre che una autenticazione con un solo passaggio (quella classica) sia molto debole anche nel caso in cui utilizziamo una password particolarmente complessa.
Questo, proprio perchè, per quanto possiamo fare attenzione con un metodo di autenticazione poco sicuro, c’è sempre un terzo fattore (che è il servizio che ospita il nostro account) in gioco.
Ma come funziona?
Il funzionamento, ed il relativo utilizzo dell’Autenticazione a Due Fattori non è affatto difficile da comprendere e mettere in atto. Al momento della richiesta di login (con username e password) verrà chiesto un terzo codice OTP (come raccontavamo prima) che sarà generato in maniera casuale da uno specifico algoritmo.
Questa “nuova password” ha durata molto breve (circa 15-30 secondi) dopo di che non sarà ritenuta più valida. Il codice OTP può essere generato da un’applicazione apposita, oppure inviato dal servizio a cui state cercando di connettervi tramite SMS o E-Mail: in questo caso parliamo di Verifica in Due Passaggi che, per certi versi, è diversa e meno sicura dell’Autenticazione a Due Fattori (ma sicuramente più sicura dell’autenticazione ad un solo fattore).
In realtà ci sarebbe una terza opzione, ovvero l’Autenticazione Biometrica: questa viene utilizzata spessissimo dalle Applicazioni presenti sui nostri Smartphone, come ulteriore passaggio di sicurezza prima di un login. Spesso, inoltre, è un’arma in più da attivare ed utilizzare, al fianco di un 2FA.
Come attivare l’Autenticazione a Due Fattori
Non c’è una guida universale per attivare l’Autenticazione a Due Fattori, in quanto dipende tutto dal servizio con il quale vi interfacciate. Tendenzialmente, il sito che ospita il vostro account dovrebbe avere una sezione spesso chiamata Impostazioni Privacy o Privacy e Sicurezza dove poter attivare il 2FA.
Una volta trovata la sezione, vi verrà chiesto o di fornire un indirizzo mail o un numero di telefono abilitato sul quale inviare il codice OTP ogni volta che richiediate l’accesso, oppure vi verrà mostrato un QR code da scannerizzare qualora attivaste la modalità tramite applicazione che, appunto, genera il codice.
Su questo, mi piacerebbe fornirvi due consigli che, secondo me, sono davvero vitali:
- cercate di non utilizzare Verifica in Due Passaggi a meno che il servizio che utilizzate supporta solo questa. È il metodo 2FA meno sicuro in quanto è relativamente “semplice” avere accesso ad una casella e-mail o, vedi i recenti casi di leak dati di ho. mobile e Tim, effettuare sim swap a nostra insaputa,
- fate sempre, e dico sempre, un backup dei codici di ripristino che il sito vi fornisce una volta attivata l’Autenticazione a Due Fattori. Questo è FONDAMENTALE in quanto, se per qualsiasi motivo non avete accesso al dispositivo che genera il codice OTP, rimarrete chiusi fuori dal vostro account.
Quali sono i migliori servizi?
Premessa: mi piacerebbe indicare quali sono, SECONDO ME, i migliori servizi che permettono di generare comodamente codici OTP per l’Autenticazione a Due Fattori. Dato che ci sono diverse categorie di programmi e servizi, suddividerò la lista in due macrocategorie:
- GENERATORI OTP
- PASSWORD MANAGER
Mi perdoneranno gli amanti dei generatori hardware ma, per ora, non ne ho mai utilizzato uno (anche se è mia premura recuperarne uno il prima possibile).
GENERATORI OTP
- Authy – https://authy.com/ – FREE
È, senza dubbio, uno dei servizi più famosi che permette di generare codici OTP. Rispetto ad altri, Authy permette di utilizzare l’applicazione (o il programma desktop) sincronizzando tutti gli account su cui è attiva l’Autenticazione a Due Fattori. Supporta tantissimi siti e, fino a poco fa, era l’unico metodo di autenticazione da usare su Twitch. - Google Authenticator – https://support.google.com/accounts/answer/1066447?co=GENIE.Platform%3DAndroid&hl=it – FREE
Anche Google ha il suo generatore di codici OTP che, a differenza di Authy, funziona solo su mobile (Android o iOS). Il principio è lo stesso: salvare i siti su cui abbiamo attivato l’Autenticazione a Due Fattori. Attenzione che per utilizzare il servizio abbiamo bisogno, giustamente, di un account Google. Se dobbiamo formattare o cambiare dispositivo, ricordiamo di esportare le chiavi generate perchè, Google Authenticator, non supporta il salvataggio delle stesse in cloud. - Microsoft Authenticator – https://www.microsoft.com/it-it/account/authenticator – FREE
Molto simile a quella di Google, la controparte di Microsoft funziona esattamente allo stesso modo: anche Microsoft Authenticator funziona solo su mobile e, anche qui, ricordiamo di esportare le chiavi generate in caso di cambio dispositivo.
PASSWORD MANAGER
- 1Password – https://1password.com/it/ – A PAGAMENTO
Questo è il servizio che, personalmente, utilizzo da diversi anni. A differenza di quelli citati prima, questo è un password manager: in poche parole, un posto dove tenere tutte le proprie password e gli accessi ai vari siti web. Tra le funzioni di questo ottimo servizio, c’è anche la possibilità di collezionare e generare OTP. Servizio a pagamento ma che, secondo me, per la sua flessibilità e la possibilità di utilizzare il servizio sia via web che via applicazione, lo rende la mia prima scelta. - Bitwarden – https://bitwarden.com/ – FREE ma OTP a pagamento
La mia seconda scelta, per quanto riguarda la combinazione Password Manager ed Autenticazione a Due Fattori, è Bitwarden. Potentissimo ed ottimo software Open Source che combina la potenza del Password Manager (nella sua versione gratuita) con il poter generare codici OTP nella sua versione a pagamento. - Dashlane – https://www.dashlane.com/it – A PAGAMENTO
Dashlane è un password manager molto simile ad 1Password, ma con una peculiarità interessante: alle sue funzionalità base, nel pacchetto a pagamento, inserisce anche una comoda VPN che, al giorno d’oggi, non fa mai male.