L’autenticazione a due fattori, o 2FA, è entrata nella nostra vita di tutti i giorni per accedere a diversi servizi. Ma cos’è l’autenticazione a due fattori?
Prima di entrare nel merito della questione 2FA, analizziamo alcuni aspetti importanti della questione. L’importanza di aumentare la nostra cyber-sicurezza deriva principalmente dal fatto che la nostra vita di tutti i giorni è strettamente collegata e connessa con le apparecchiature del mondo on-line.
Il termine cyber-criminale è stato proprio coniato da quando attacchi hacker a governi, enti, aziende e privati cittadini sono diventati comuni.
Le forme di criminalità informatica sono le più disparate, da violazioni di dati a richieste di riscatti per immagini o video estorti, ma esistono dei modi per difendersi da questo tipo di attacchi.
Transazioni e anonime e non tracciabili: cosa sono le privacy coins
Indice dei contenuti
Problemi di sicurezza informatica
Uno dei modi che privati cittadini ed aziende hanno per difendersi da questo tipo di attacchi hacker è sicuramente l’autenticazione a due fattori o 2FA.
Negli ultimi anni aziende di ogni tipo hanno dovuto affrontare attacchi hacker rivolti all’impadronirsi dei dati personali dei clienti di quella data piattaforma. E mentre il crimine informatico trova sempre nuove strade per bucare i sistemi di sicurezza, quest’ultimi non sempre vengono tenuti aggiornati dalle varie aziende rischiando così di essere esposti ad attacchi di ogni natura.
A volte può essere anche l’errore occasionale umano a creare una falla nel sistema di sicurezza. Ma le aziende che trattano dati personali dei propri clienti non si possono permettere simili defaillance nel sistema informatico, sia da un punto di vista meramente reputazionale sia a livello di perdite finanziarie.
Anche i singoli cittadini dovrebbero stare attenti alle truffe legate all’hacking informatico. Il furto d’identità con conseguente perdita di tutte le carte e conti associati è uno degli attacchi hacker più comuni. In quel caso il povero malcapitato può vedersi prosciugato il proprio conto in banca, o cripto, nel giro di pochissime ore. Uno studio condotto negli Stati Uniti nel 2016 aveva mostrato come oltre 15 milioni di utenti americani fossero stati truffati, per un totale di ben 16 miliardi di dollari rubati.
I siti e le app che gestiscono milioni di dati personali hanno avuto quindi bisogno di un maggior livello di sicurezza informatica. Per anni la ‘password’ è stata utilizzata come unico metodo per proteggersi dai malintenzionati, ma non era abbastanza; ecco che nasce l’idea di un’autenticazione a due fattori.
Bitcoin e criptovalute: sono davvero anonime? Questa coppia l’ha scoperto nel modo peggiore
Password: cara vecchia amica inaffidabile
La storia della vulnerabilità delle password nasce nel lontano 1961 quando al MIT, Massachusetts Institute of Technology, svilupparono il Compatible Time-Sharing System (CTSS). Per dare modo di usufruire a tutti gli studenti della possibilità di usare il computer, era stata introdotta la richiesta del MIT di immettere una password per accedere ai vari PC. Ben presto gli studenti della prestigiosa università trovarono il modo di violare il sistema e stampare le password per avere più tempo con il computer.
Nonostante al giorno d’oggi esistano vari modi per aumentare la propria sicurezza informatica, la password è la maniera più comune che conosciamo per accedere ad un nostro servizio privato.
Cosa rende le password inaffidabili
Ci sono diversi fattori a rendere debole o inefficace la classica password come metodo di protezione:
Il primo fattore è la memoria. Secondo un recente studio, quasi 1 miliardo e mezzo di persone a cui sono state rubate le credenziali d’accesso aveva come password qualcosa di assolutamente banale. Password come “1111”, “1234”, “qwerty” o cose del genere sono sicuramente semplici da ricordare ma anche altrettanto semplici da individuare per gli hacker di tutto il mondo.
Il secondo fattore è la moltitudine di account che si possiedono. Ad oggi ognuno di noi è iscritto ad almeno 10 piattaforme diverse, con relative password e credenziali d’accesso da inserire. Avere troppi account personali porta le persone ad riutilizzare vecchie password, usate magari sia per il conto in banca che per l’accesso a Netflix. Questa è un’abitudine pericolosa che porta gli hacker ad aprire un vero e proprio vaso di Pandora una volta riuscito a trovare anche solo una delle password dei vostri account.
Un ultimo fattore è la “stanchezza” della ricerca di una maggiore sicurezza. Con tutti gli episodi di hacking a grandi aziende che potrebbero permettersi livelli di sicurezza informatica incredibili, la percezione di avere una qualche sicurezza maggiore da parte dei singoli cittadini adottando password più complesse, decade miseramente.
2FA per salvarci tutti
L’autenticazione a due fattori, o 2FA, è un modo per identificare la persona che sta effettuando l’accesso nonostante utilizzi la password corretta.
Una volta inserita la password corretta, il sistema richiederà un secondo fattore di riconoscimento, una seconda informazione che può essere di diverso tipo:
– Un PIN, un’altra password o una domanda segreta a cui solo voi potete rispondere
– Una carta di credito, uno smartphone, un token hardware o qualunque altra cosa in possesso dell’utente
– Impronta digitale, scansione biometrica o scansione dell’iride
In questo modo anche se la vostra password venisse rubata, il malfattore dovrebbe comunque inserire un secondo metodo di autenticazione per accedere al servizio rubato.
Non esiste un solo metodo di autenticazione a due fattori, e dai più deboli ai più forti offrono diversi livelli di protezione. Solitamente, però, se una piattaforma non richiede un secondo fattore di autenticazione oltre alla convenzionale password, ci sono buone probabilità che prima o poi quel sistema venga violato.
L’hack di Crypto.com: la 2FA, autenticazione a due fattori, non è più sufficiente?
Le diverse forme di 2FA
Come abbiamo detto esistono diversi livelli di autenticazione a due fattori e ognuno di loro offre livelli di sicurezza differenti.
Token Hardware
I Token hardware sono la prima iterazione di 2FA conosciuta. Si tratta di piccoli aggeggi, simili a dei portachiavi, che producevano un codice nuovo ogni 30 secondi visibile nello schermo del token. Oltre agli elevati costi di produzione per le varie aziende vi era anche la grande possibilità di perdere questo token hardware vista la loro piccola dimensione, e per questo sono stati via via abbandonati.
SMS o chiamata
L’autenticazione a due fattori basata sugli SMS comporta l’accesso fisico allo smartphone dell’utente. In questo modo il sito invia un codice, chiamato codice unico di accesso (OTP), che l’utente dovrà inserire dopo aver immesso la sua solita password. Nella versione “chiamata” il codice verrà detto al cliente direttamente a voce. Questo tipo di autenticazione è ad oggi molto diffuso ma al contempo le varie aziende stanno spingendo per superare questo metodo e introdurne di migliori.
Token Software
Come per il Token Hardware, anche qui verrà generato un codice a tempo che l’utente dovrà inserire dopo le consuete credenziali. Per fare ciò l’utente dovrà scaricare un’applicazione 2FA gratuita sul proprio smartphone, accedere normalmente al servizio con le proprie credenziali e poi inserire il codice che verrà emesso direttamente nell’app. In questo modo si evita anche una possibile intromissione hacker all’interno dello smartphone.
Notifica Push
Oltre all’utilizzo di token 2FA, le varie aziende hanno cominciato ad inviare all’utente una notifica push direttamente al momento dell’accesso. Nel momento in cui arriva la notifica l’utente può decidere se accettare o negare l’accesso con un semplice tocco. La migliore novità di questo tipo di autenticazione è che elimina completamente l’opportunità di attacchi phishing. Il punto a sfavore è che può operare solo con sistemi connessi alla rete e in gradi installare app.
Conclusioni
Nonostante le password risultino un debole sistema di protezione, è ancora oggi il più utilizzato sia da aziende che da privati cittadini. Il crimine informatico si è affinato sempre di più negli ultimi e così, di pari passo, anche la consapevolezza delle aziende e delle persone.
In futuro l’autenticazione a due fattori sarà adottata da tutte le aziende e, di conseguenza, da tutti gli utenti di quelle piattaforme. Il passaggio ad un nuovo sistema di accesso ai propri account potrà risultare un po’ “dispersivo” all’inizio, ma il grande beneficio a livello di sicurezza informatica vale sicuramente lo sforzo di imparare il suo, dopotutto semplice, utilizzo.