L’autenticazione a due fattori rende molto difficile la vita agli hacker e cracker. I pro e i contro di questa metodica di sicurezza.
L’autenticazione a due fattori non è infallibile, ma non è questo un buon motivo per non utilizzarla. Questo tipo di autenticazione per i vostri account è indubbiamente meglio che usare una semplice password d’accesso.
Non tutti i metodi di autenticazione a due fattori sono uguali. Alcuni, però, è dimostrato che sono più sicuri. Ecco allora un riassunto ai metodi più comuni e a quelli che meglio possono soddisfare le vostre esigenze individuali.
Autenticazione a due fattori e autenticazione a due fasi
Chiariamo le differenze tra l’autenticazione a due fattori e l’autenticazione a due fasi. Sono simili, ma non proprio uguali.
L’autenticazione a due fattori è quando si protegge un account con due fattori. Un fattore è “qualcosa che conosci” (ad esempio la password), “qualcosa che hai” (ad esempio il telefono), o “qualcosa che sei” (ad esempio le impronte digitali). Per essere veramente protetto da un’autenticazione a due fattori, il tuo account deve richiedere due blocchi di fattori diversi, prima di concedere l’accesso.
Se un account è protetto da due serrature dello stesso fattore, allora significa che è un’autenticazione a due fasi. Ad esempio, una password e una domanda di sicurezza sono entrambe “qualcosa che conosci”, rendendo l’autenticazione a due fasi, ma non a due fattori.
Anche l’autenticazione a due fasi fornisce una buona protezione adeguata, ma l’autenticazione a due fattori è certamente più sicura.
Impostare le domande di sicurezza
Quando si crea un account, si scelgono una o più domande di sicurezza e si impostano le risposte per ciascuna di esse. Quando accedi a quell’account, devi fornire la risposta giusta ad ogni domanda per convalidare che hai l’accesso legittimo.
Le domande di sicurezza vengono spesso proposte dal servizio stesso che fornisce un menu a discesa di domande – tutto quello che dovete fare è sceglierne una e dare la risposta. Non hai bisogno di altro hardware, dispositivi, telefoni, ecc. La risposta è memorizzata nella tua testa.
Occorre però sapere che le risposte alle domande di sicurezza possono essere trovate nei registri pubblici (ad es. il cognome di tua madre da nubile). Per superare questo problema, puoi rendere la tua risposta molto più difficile e trasformarla effettivamente in una seconda password, ma occorre fare attenzione: potreste perderla o dimenticarla!
La vera autenticazione a due fattori per una sicurezza maggiore
Un metodo di autenticazione a due fattori è indubbiamente quello tramite Sms.
In pratica quando crei un account, fornisci il tuo numero di telefono cellulare. Ogni volta che si desidera effettuare il login, il servizio invia un messaggio SMS con un codice di verifica che scade (di solito dopo pochi minuti). Devi inserire quel numero per completare il processo di accesso.
Ebay e Gmail utilizzano questo tipo di autenticazione a due fattori tramite Sms, se andate nelle impostazioni della password dei vostri account potrete impostarle subito, gratuitamente.
I pro e contro dell’autenticazione a due fattori con Sms
I pro
I messaggi SMS sono estremamente convenienti. Oggigiorno, praticamente tutti hanno un telefono in grado di ricevere SMS gratuitamente. Di solito i messaggi arrivano istantaneamente, ma anche quando non lo fanno raramente ci vogliono più di pochi minuti. Se perdi il tuo telefono, puoi trasferire il tuo numero su un altro dispositivo in modo da non essere mai bloccato.
I contro
Devi fidarti del servizio a sufficienza per condividere il tuo numero di telefono. Alcuni servizi potrebbero utilizzare il vostro numero per la pubblicità o venderlo per un guadagno. E poiché i numeri di telefono non sono in realtà legati ai dispositivi, gli hacker possono effettivamente aggirare l’autenticazione basata su SMS senza mai toccare il telefono (anche se è un livello davvero alto per un attaccante).
Un altro metodo: password una tantum basata sul tempo
Quando crei un account, ti viene assegnata una “chiave segreta”. Dopo aver installato un’applicazione che genera codice, si scansiona un codice QR per caricare la chiave segreta nell’applicazione. Verrà poi generata una password momentanea (ad esempio dalla durata di 30 secondi) solo con questa password una tantum potrete poi accedere.
I pro
I codici sono generati sulla base di una combinazione della chiave segreta e dell’ora corrente, il che significa che è possibile ottenere codici validi sul dispositivo anche quando non si dispone di una ricezione e/o di un servizio mobile. E poiché la chiave segreta è memorizzata sul dispositivo stesso, non può essere intercettata o reindirizzata (ad esempio clonando un numero di telefono).
I contro
Non sarà possibile effettuare l’accesso se il dispositivo si esaurisce o si rompe. A volte gli orologi interni possono perdere la sincronizzazione tra il dispositivo e il servizio, il che si traduce in codici non validi. Questi sono due motivi per cui la stampa dei codici di backup è importante.
Se un hacker in qualche modo clona la tua chiave segreta, allora possono generare i propri codici validi a piacimento. E se il servizio non limita i tentativi di accesso, gli hacker possono ancora essere in grado di compromettere il tuo account attraverso un attacco di forza bruta.
Metodo di autenticazione a due fattori u2f
Universal 2nd Factor (U2F) è uno standard aperto che viene utilizzato con i dispositivi USB, i dispositivi NFC e le smart card. Per autenticarsi è sufficiente collegarlo (per chiavette USB), appoggiarlo (per i dispositivi NFC) o strisciarlo (per le smart card).
I pro
Una chiave U2F è un vero fattore di sicurezza. A differenza dei codici SMS, non può essere intercettato o reindirizzato. E a differenza della maggior parte dei metodi a due fattori, le chiavi U2F sono a prova di phishing perché sono registrate solo per funzionare con i siti registrati. Il metodo 2FA è tra i più sicuri attualmente disponibili.
I contro
Poiché l’U2F è una tecnologia relativamente nuova, non è ancora ampiamente supportata. Ad esempio, a partire da questa scrittura, le chiavi NFC funzionano solo con i dispositivi mobili Android, mentre le chiavi USB funzionano principalmente con il browser Chrome (Firefox si sta adeguando).
Autenticazione facciale, voce, impronta digitale
Il riconoscimento facciale, quello vocale e le scansioni delle impronte digitali rientrano tutte nella categoria della biometria. I sistemi utilizzano l’autenticazione biometrica quando è davvero importante che tu sia veramente chi dici di essere, spesso in aree che richiedono un nulla osta di sicurezza elevatissimo (lo vediamo sempre nei film).
I pro
La biometria è estremamente difficile da hackerare. Anche un’impronta digitale, che è probabilmente la più facile da copiare, richiede un qualche tipo di interazione fisica. Il riconoscimento vocale avrebbe bisogno di un qualche tipo di dichiarazione detta nella tua voce e il riconoscimento facciale avrebbe bisogno di qualcosa di drastico come la chirurgia plastica. Non è impossibile da superare, ma quasi.
I contro
L’aspetto negativo maggiore, e la ragione per cui la biometria è raramente usata come metodo a due fattori, è che una biometria compromessa da un hacker è compromessa per tutta la vita. Inoltre, quanto ti sentiresti a tuo agio a “diffondere” nei sistemi il vostro viso, voce o impronte digitali? Vi fidereste della loro sicurezza? La maggior parte di noi non lo farebbe.
Quale metodo di autenticazione a due fattori è il migliore?
Equilibrando tutti i pro e i contro: le password una tantum basate sul tempo sono le migliori. Devi solo fare attenzione a mantenere i codici di backup in caso di perdita o rottura del dispositivo.
Per la privacy: le chiavi U2F sono le migliori. Non possono essere utilizzate per tracciare l’utente e non è necessario rinunciare ad alcuna informazione personale per utilizzarle. Ma generalmente poco usate perché il sistema è costoso.
Per comodità: i messaggi SMS sono i migliori. Sì, possono essere intercettati o reindirizzati, ma sono abbastanza veloci, facili e sicuri.
Il peggiore: è sicuramente il metodo delle domande di sicurezza come metodo a due fattori. Se proprio non avete altre opzioni, allora usatele come seconda password. Non affidatevi mai alle risposte standard proposte dal servizio: specialmente se la risposta non è qualcosa che solo voi sapete.