Autenticazione a due fattori: la guida definitiva per proteggere i tuoi dati

Sai cos’è l’autenticazione a due fattori, 2FA, e perché è importante per rafforzare la sicurezza proteggendo i tuoi account da accessi esterni? 

Conosciuta anche come two-step verification, la 2FA è fondamentale oggi per aumentare la sicurezza nell’ecosistema online, per proteggere gli account e i pagamenti. 

Da quando è stata introdotta, è stato aumentato di molto il livello di sicurezza e i rischi di compromissione degli account si sono fortemente ridotti.

Ma che cos’è nello specifico l’autenticazione a due fattori? Come si fa ad attivarla? Perché è così sicura? A queste altre domande troverai risposta in questo articolo.

Che cos'è l'autenticazione a due fattori (2FA)?

Partiamo proprio dall’inizio: l’autenticazione a due fattori, 2FA, possiamo definirla come un meccanismo di sicurezza avanzato che obbliga l’utente a inserire due prove diverse per verificare la sua identità online. 

Non basta quindi solo inserire la password. Ma, oltre a questa, viene richiesto un secondo fattore: sia esso un codice SMS generato da un’app e inviato via SMS, sia un dato biometrico come l’impronta digitale o il riconoscimento facciale, e in alcuni casi addirittura una chiave hardware esterna. 

Questo doppio controllo è stato introdotto per ridurre la possibilità che un malintenzionato possa entrare in possesso di un account, anche importante, semplicemente inserendo una password. 

L’autenticazione pone un ostacolo a chi mira a tentativi di phishing o a furti di credenziali, a rubare denaro o anche solo a spiare le attività di un determinato account. 

La due fattori, quindi, rientra nell’ambito delle cosiddette multi-factor authentication (MFA), solo che in questo caso richiede solo due fattori per rendere più robusti tutti gli account. 

Oggi, quasi tutti gli account più importanti, dalle pagine social a quelli utilizzati per la gestione dei pagamenti, richiedono una doppia autentificazione agli utenti.

Come si fa ad attivare l'autenticazione a due fattori?

Ma come si fa ad attivare l’autenticazione a due fattori? Come abbiamo visto, si tratta di un livello aggiuntivo di sicurezza e protezione degli account che richiede all’utente di inserire, oltre alla password, un secondo elemento di verifica. 

Ormai la maggior parte dei servizi online - dalle piattaforme di pagamento, all’accesso alle caselle di posta, ai social network - richiedono di identificarsi mediante i due fattori. 

Questo sistema di identificazione è  raccomandato da tantissimi enti autorevoli, tra cui la European Banking Authority, e previsto dalla PSD2.

Generalmente gli step per attivare l’autenticazione a due fattori sono comuni indipendentemente dal servizio scelto.

1. Accedi all’account e, nella sezione Sicurezza, cerca la schermata “Verifica in due passaggi” o “Protezione dell’account”.

2. Avvia la procedura guidata cliccando sui tasti quali “Inizia” o “Attiva”.

3. Conferma la password attuale.

4. Scegli il metodo di verifica: ad esempio l’app Authenticator, oppure SMS, email o una chiave hardware, che garantisce una massima sicurezza.

5. Configura il secondo fattore a seconda del metodo scelto (scannerizza il QR code sullo schermo, fornisci il numero di telefono, ecc.).

È importante, infine, conservare i codici di backup e aggiornare l’autenticazione in caso di cambio di numero di telefono o altre impostazioni. 

Una volta completati questi passaggi, ogni volta che effettuerai il login all’account verranno richiesti entrambi i fattori.

Quanto è sicura l'autenticazione a due fattori?

L’autenticazione a due fattori si può dire con certezza che sia uno strumento sicuro, poiché riduce enormemente il rischio di accessi non autorizzati. 

Per un eventuale malintenzionato, infatti, non basta più avere una password per l’accesso ad un qualsiasi profilo, ma dovrà in molti casi anche avere accesso allo smartphone dell’utente per confermare l’identità o, in altri casi, avere a disposizione anche dei codici monouso.

Dal punto di vista della sicurezza, entrando più in dettaglio, molte soluzioni 2FA utilizzano dei codici monouso, cosiddetti OTP, generati automaticamente da software o hardware e attivi per pochi secondi (da 30 a 60). 

Ci sono poi anche dei token hardware e altri strumenti per verificare la propria identità: qui parliamo di chiavi FIDO2 o U2F, con il dispositivo che conserva una chiave privata, la invia al server e garantisce che la seconda autenticazione provenga effettivamente dall’utente.

In alternativa le soluzioni push integrate sono ugualmente sicure. Ad esempio servizi quali in app Authenticator o altri che generano certificati PHA/PKI, per richiedere l’identificazione direttamente dallo smartphone, con l’utente che dovrà confermare la sua identità solo con un click tramite autenticazione a due fattori. 

I metodi appena visti sono sicuramente i più sicuri e si consiglia di utilizzarli per proteggere account molto importanti. Meno sicuri, ma comunque efficaci, sono la verifica a due fattori via SMS.

In linea generale, possiamo in definitiva dire che l’autenticazione a due fattori è oggi una barriera introdotta molto importante, poiché protegge dalle principali minacce legate al furto delle credenziali, e per massimizzare la protezione è sempre bene utilizzare token software o hardware e conservare i codici di recupero, così da avere una massima sicurezza dei propri account.

Esempi di autenticazione a due fattori 

Ma quali sono alcuni esempi di autenticazione a due fattori O almeno quelli più comuni?

• Autenticazione password + codice SMS: utilizzata da numerosi utenti per diversificare l’identità, ad esempio quando accedono su Instagram su Facebook su Gmail o su X. Qui il funzionamento è semplice: l’utente prima inserisce la password del servizio e poi riceve un codice monouso OTP al numero di telefono registrato. L’utente ha pochi secondi per digitare il codice ricevuto e quindi completare l’accesso. Questo è uno strumento semplice da utilizzare, compatibile ed è uno dei più efficaci.

• Password + app Authenticator o TOTP: può essere utilizzato per l’accesso ad esempio nell’account Google, Microsoft, GitHub. Il funzionamento prevede l’installazione di un’app di autenticazione dell’identità, come Google authenticator: bisogna scansionare il QR code presentato dal sito web a cui si sta cercando l’accesso, il quale fornisce una chiave segreta locale che può essere poi utilizzata per l’accesso.

• Password + notifica push: anche qui è previsto per diversi strumenti, dagli account Google e Microsoft alle pagine social di base. L’utente inserisce la solita password; a questo punto, in automatico, il server invia una richiesta crittografata, cosiddetta push, all’App sullo smartphone e l’utente riceve una notifica da confermare con un tap. Questo è molto utile poiché accerta che l’accesso sia effettuato da un dispositivo registrato dall’utente, il suo smartphone o il suo PC.

• Password + chiavi crittografate U2F o FIDO2: in questo caso l’utente registra una cosiddetta YubiKey o un token FIDO2 e lo associa al proprio account. Ogni volta che l’utente fa login, il browser riceve la richiesta e chiede di utilizzare la chiave con la firma privata in suo possesso. Qui c’è il massimo vantaggio, poiché questo codice è conservato a parte ed è in possesso di una sola persona.

• Password + riconoscimento biometrico: dopo il primo accesso e l’inserimento di password o PIN si richiede di confermare la propria identità mediante metodo biometrico, ad esempio l’impronta digitale. Se il match è positivo, l’account viene sbloccato e l’utente può effettuare l’accesso.

Autenticazione due fattori: le conclusioni  

In conclusione, possiamo confermarvi come l’autenticazione a due fattori sia oggi una misura di sicurezza efficace per proteggere sia account personali sia account aziendali. 

Un secondo elemento di verifica si questo un codice monouso, una notifica push, un dato biometrico o a una chiave hardware/software – blocca la maggior parte degli attacchi, rendendo vano il tentativo di furto di credenziali. 

Sebbene non ci sia mai sicurezza al 100%, valutata la semplicità d’uso per l’implementazione di queste tecnologie e il vantaggio che si ottiene, possiamo dire che oggi chiunque dovrebbe proteggere i propri account con la 2FA e navigare così nel web con la maggior sicurezza.