Autenticazione a DUE FATTORI

L’Autenticazione a due fattori (MFA: Multi Factor Authentication) è un ottimo metodo per aumentare notevolmente la sicurezza dei propri account.


Il sistema di autenticazione più diffuso è la password. La combinazione tra identificativo (username) e password autentica l’utente al sistema. Un’autenticazione basata SOLO su password è intrinsecamente DEBOLE. Per innalzare i livelli di sicurezza sono state introdotte perciò le tecniche di “Strong Authentication” o autenticazione a più fattori.

PREMESSE

Come detto, la verifica dell’identità di un utente remoto richiede due funzionalità: l’IDENTIFICAZIONE e l’AUTENTICAZIONE. La prima comporta l’inserimento dello “username”. Per la seconda (l’autenticazione) si possono usare tre diversi metodi:

  1. Una cosa che sai“, per esempio una password o un PIN.
  2. Una cosa che hai“, come uno smartphone o un token di sicurezza (come quelle “chiavette” che di regola ci vengono fornite per i servizi di Internet banking).
  3. Una cosa che sei“, come l’impronta digitale, il timbro vocale, l’iride, o altre caratteristiche biometriche.

Un’autenticazione basata SOLO su password è intrinsecamente DEBOLE, perchè richiede un solo fattore di autenticazione per concedere l’accesso ad un sistema. La password infatti può essere rubata, dedotta, scoperta, rendendo l’account facilmente violabile da un malintenzionato. L’autenticazione a due fattori elimina questa debolezza ed è attualmente uno dei sistemi di protezione più sicuri che possiamo usare

COME FUNZIONA L’AUTENTICAZIONE A DUE FATTORI (MFA)

Richiede  almeno due dei tre fattori di autenticazione sopra elencati: in genere il primo è la password mentre il secondo è un codice (di solito di 4-6 caratteri) da ottenere grazie allo smartphone (sotto forma di sms o tramite un’apposita applicazione) o tramite un token. Questo secondo codice viene generato in modo  pseudo-casuale attraverso un algoritmo in genere basato sul tempo (sull’orario) ed ha una durata molto limitata (solitamente da 30 a 60 secondi). Si tratta in pratica di una “One Time Password” (OTP), che cambia ogni volta.
A differenza della password (che è sempre la stessa!), questo secondo codice è di fatto inattaccabile, perché per poterlo utilizzare dovrebbe essere intercettato nel brevissimo lasso di tempo in cui rimane valido.

Si parla quindi di 2FA se si usano due fattori e di 3FA se ne vengono richiesti tre (molto meno usata).

ISTRUZIONI PER L’USO

Ad eccezione dei servizi di Internet banking, che ci obbligano ad usare la MFA (di solito la banca ci consegna un token impostato per il nostro account ed utilizzabile solo per accedere al loro sito), per tutti gli altri siti più noti l’Autenticazione a Due Fattori è un’opzione facoltativa che l’utente deve attivare a sua discrezione. Tutti i siti più importanti permettono di farlo (ma non ci obbligano, purtroppo!) e tra questi segnalo:

Amazon, AppleID, Dropbox, Evernote, Facebook, Google, LinkedIn, Microsoft, PayPal, Twitter, Yahoo! Mail, Wordpress.

Consiglio di farne uso in tutti i siti che ho sopra elencato, soprattutto se abbiamo dati ed informazioni che consideriamo importanti.

La modalità di attivazione è – più o meno – sempre la stessa: dopo essersi registrati al sito, si accede alla pagina delle “Impostazioni di Sicurezza” (il nome può anche essere leggermente diverso, ma si tratta sempre della sezione dove  possiamo, per esempio, modificare la password). Si sceglie di attivare la MFA, dopodiché il sito ci chiederà in che modo vogliamo ricevere il CODICE: il metodo più diffuso in tutti i siti è attraverso un SMS, quindi dovremo indicare uno smartphone “affidabile” al quale ci verrà inviato il codice. Consiglio di registrare sempre DUE o più numeri di telefono, per maggior sicurezza (poi, ad ogni successivo invio, ci verrà chiesto di scegliere su quale dispositivo vogliamo ricevere il codice).

Alcuni siti permettono di scegliere, in alternativa al codice via SMS, l’uso di applicazioni apposite in grado di generare il codice temporaneo (OTP): trattasi di applicazioni che vanno installate sullo smartphone, abbinate al servizio nel quale si imposta la MFA (l’abbinamento viene fatto attraverso la lettura di un QRcode che compare sullo schermo) e che sono poi in grado di fornirci il codice. Le applicazioni più note ed usate sono: AuthyGoogle Authenticator, Microsoft Authenticator, (tutte gratuite) e la stessa 1Password, di cui ho parlato nell’articolo sui Password Manager.

Nella fase di attivazione ci verrà data anche una  chiave di recupero (molto complessa, da conservare a parte). Di regola per la MFA si usano Password+Codice, la chiave di recupero è la “soluzione di emergenza” da utilizzare solo in caso di: password dimenticata o dispositivo smarrito o rubato.

Infine, in quasi tutti i siti che prevedono la MFA è prevista una comoda opzione che ci permetterà di non dover più inserire nei login successivi il codice OTP. questa opzione si chiama in genere: “considera questo dispositivo attendibile” (o qualcosa di simile) e va attivata una tantum.
In pratica, poiché l’autenticazione a due fattori è finalizzata ad evitare accessi da computer o dispositivi diversi dai nostri, potremo fare in modo che il sito riconosca che stiamo facendo il login dal nostro “abituale” dispositivo e non ci richieda più il secondo fattore di autenticazione.

Come ultimo ma non meno trascurabile vantaggio della MFA segnalo che nel momento in cui l’avremo attivata, sparirà la richiesta di impostare le “famigerate” e pericolose Domande di Sicurezza di cui ho parlato in un mio precedente articolo.

MFA: UN SEMPLICE ACCORGIMENTO CHE RENDERÀ MOLTO PIÙ SICURI E PROTETTI I NOSTRI ACCOUNT

© Copyright 2016 Giorgio Sbaraglia
All rights reserved.

 

Lascia un commento