LOGIN
Si parla di autenticazione a due fattori per fare riferimento a diverse procedure di sicurezza informatica. L’elemento comune a queste procedure è il superamento del semplice utilizzo da parte dell’utente di credenziali e password.
Esistono diversi metodi per utilizzare l’autenticazione a due fattori. Da un certo punto di vista non è semplice stabilire quali siano effettivamente i migliori. Dall’altro è sicuramente possibile identificare pro e contro della singola procedura: ad esempio spiegando quale sia la scelta più sicura. Ma anche identificando quale metodo sia maggiormente rispettoso della privacy online dell’utente.
Cos’è l’autenticazione a due fattori
.jpg)
Credits Shutterstock
Spesso per parlare di autenticazione a due fattori si utilizzano gli acronimi 2FA e MFA, che stanno rispettivamente per Two-Factor Authentication e Multi-Factor Authentication.
In entrambi i casi si fa riferimento a un sistema di protezione che permette di elevare sensibilmente il livello di sicurezza informatica di una qualsiasi tipologia di account o profilo.
I sopracitati “fattori”possono essere paragonati a dei singoli passaggi. Di conseguenza l’autenticazione a due fattori prevede che l’utente superi due o più step prima di poter effettivamente accedere all’account in questione.
Si tratta dunque di una procedura tendenzialmente più sicura del semplice inserimento di credenziali e password. Soprattutto nel caso in cui la chiave di accesso sia stata pensata dall’utente e non sia stata generata automaticamente da un software apposito.
I processi di autenticazione a due fattori possono svilupparsi tenendo conto di conoscenza, possesso e inerenza
La procedura di autenticazione inizia con l’inserimento delle classiche credenziali di accesso dell’utente. Dopodiché può svilupparsi in maniera differente, in base al singolo sito o alla singola tecnologia in uso. Il primo step è l’inserimento delle proprie credenziali di accesso. Detto questo si tende comunque a organizzare i diversi fattori secondo tre criteri fondamentali.
Il primo criterio è quello della conoscenza e prevede che l’utente inserisca una qualsiasi tipologia di informazione a cui può avere accesso: ad esempio una password, piuttosto che un codice PIN.
Il secondo criterio è quello del possesso e prevede che l’utente ricorra a un oggetto fisico che si trova nella sua disponibilità: ad esempio uno smartphone o un dispositivo simile ai token di sicurezza.
Il terzo criterio è quello dell’inerenza e prevede che l’utente si autentichi utilizzando alcune caratteristiche personali più o meno difficili da replicare. Si pensi in tal senso alla sua impronta digitale, ma anche alla conformazione del suo viso o al timbro della sua voce.
Autenticazione a due fattori tramite OTP
Credits Shutterstock
Una tipologia molto diffusa di autenticazione a due fattori prevede l’invio di una OTP, ovvero di una One Time Password: una specie di codice monouso, che va associata alle credenziali di partenza per potere sbloccare l’accesso a un account o a un profilo.
Questa procedura aumenta considerevolmente la sicurezza dell’utente, soprattutto nel caso in cui la sua password venga compromessa. Con la 2FA infatti le semplici credenziali, senza la successiva OTP, non hanno praticamente alcun valore.
Allo stesso tempo è molto importante distinguere tra le modalità di invio della One Time Password, che possono incidere pesantemente sul livello complessivo di sicurezza informatica della procedura.
Nel caso in cui l’OTP venga inviata tramite email, è fondamentale accertarsi chel’indirizzo utilizzato sia differente rispetto a quello delle credenziali di cui sopra. Ma anche l’invio di OTP tramite SMS o chiamata vocale presenta limiti e fattori di rischio.
Ad esempio non è detto che l’utente abbia sempre modo di utilizzare il proprio smartphone. In tal senso è sufficiente che non ci sia campo per compromettere le sue possibilità di accesso all’account protetto da autenticazione a due fattori.
Inoltre al giorno d’oggi gli hacker più esperti sono perfettamente in grado di ottenere schede SIM con numeri gemelli. Così come sono in grado di intercettare e dirottare chiamate e messaggi.
Il discorso cambia notevolmente nel caso in cui il codice monouso venga generato da un’app di autenticazione. In questo caso l’utente ha bisogno di una semplice connessione Internet: lo stesso presupposto necessario all’accesso tramite credenziali a un qualsiasi tipo di servizio web.
Inoltre le informazioni generate tramite app sono, ad oggi, molto difficili da clonare o intercettare. Lo stesso discorso vale per le procedure di autenticazione attraverso metodologie One Button.
Anche in questo caso l’utente apre un’app, ma la utilizza esclusivamente perconfermare la propria identità, senza avere bisogno di copiare e incollare codici di sorta.
Autenticazione a due fattori, biometria e token
Credits Shuttertsock
L’autenticazione a due fattori tramite riconoscimento biometrico è indubbiamente molto sicura. Il discorso vale tanto per l’utilizzo dell’impronta digitale, quanto per quello del riconoscimento del volto, dell’iride o addirittura della voce.
La principale problematica legata a questa tipologia di procedura riguarda la privacy online piuttosto che la sicurezza. I dati biometrici infatti identificano gli utenti a prescindere dall’utilizzo di servizi. Dunque condividere questo genere di dati significa mettere a disposizione di terzi tutta una serie di informazioni personali davvero sensibili.
Anche per questo motivo l’autenticazione a due fattori tramite dispositivo fisico è quella considerata maggiormente conveniente in questo periodo storico. Se non altro perché garantisce un elevato livello di sicurezza informatica, senza intaccare eccessivamente la privacy dell’utente.
A ciò si aggiunge il fatto che i dispositivi fisici sono gli unici potenzialmente in grado di identificare tanto l’utente quanto il servizio. Un presupposto fondamentale per ridurre il rischio di attacchi hacker di tipo Man-in-the-Middle: quelle truffe in cui il malintenzionato filtra, altera o ri-trasmette la comunicazione tra due parti.
Si pensi in tal senso alle chiavette U2F (Universal 2nd Factor): dei dispositivi simili ai token di sicurezza, che però non si limitano a criptare lo scambio di dati tra utente e servizio. Le chiavette U2F infatti aggiungono un processo di memorizzazione di informazioni univoche relative a entrambi.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web
