Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
L’autenticazione a due fattori è uno dei più semplici quanto utili strumenti per aumentare, e di molto, la sicurezza dei propri account online. Che assuma la forma di un codice numerico o QR, o persino di una chiave fisica d’accesso – non importa: abilitando l’autenticazione a due fattori sarete sempre voi a condurre il gioco, rendendo la vita difficile ad hacker e spoofer.
Ma che cos’è l’autenticazione a due fattori, e come si abilita? Con la nostra Guida per Nuovi Utenti vi spiegheremo nel dettaglio il funzionamento di questa forma rinforzata d’accesso che dovreste abilitare per ogni applicazione che richieda l’immissione di una password; siete pronti?
Cosa, ma soprattutto perché - Autenticazione a due fattori: cos'è
Immaginate di essere un hacker, e di aver appena ottenuto la password d’accesso all’account email della vostra vittima designata. Non è stato difficile: magari avete installato uno spyware sul suo dispositivo, magari avete buttato un’occhiata quando digitava la chiave d’accesso all’Internet Point del vostro quartiere… non importa. Ciò che davvero conta è che ora avrete il completo accesso al suo account GMail: potrete modificare le password degli account collegati (social network, ma anche quelle relative a profili molto più sensibili), accedere alla sua lista contatti, servirvi della sua email per iscrizioni fittizie a software e prodotti.
Ma… all’improvviso, i vostri sogni si infrangono. Tutto muore. Piani malvagi e maligni propositi si dileguano come la notte davanti alla torcia dello smartphone – il tutto per colpa di un unico, solo inconveniente che prende il nome di “autenticazione a due fattori“.
Questa tecnologia, sconosciuta ai più (ma estremamente efficace), impedisce ad hacker e professionisti del phishing di bucare account e profili online, raddoppiando il livello di sicurezza loro associato. Ma cos’è l’autenticazione a due fattori?
Si tratta di una chiave d’accesso ulteriore alla password o al codice normalmente richiesto al momento del login, in possesso unicamente dell’utente il quale solitamente riceve la chiave (generalmente una sequenza di cifre) sul proprio dispositivo mobile (più spesso lo smartphone, così come qualsiasi altro device preposto allo scopo). Può essere trasmesso attraverso un SMS, una telefonata o una notifica, mentre più raramente assume la forma di un dispositivo fisico dedicato (chiamato “hardware token“) come una chiavetta USB.
I metodi più comuni di autenticazione a due fattori sono:
- Via-SMS: il più comune, ma anche il più vulnerabile a tentativi di hackeraggio o intercettazione. Dopo aver immesso nome utente e password, un SMS viene recapitato al numero collegato al profilo contenente un codice di 5-6 cifre da inserire per confermare l’accesso. La sua implementazione in applicazioni e piattaforme web richiede relativamente poco sforzo e non necessita dell’installazione di un’applicazione per andare a termine – da qui la sua grande popolarità. Ma ci sono anche molti svantaggi: pur non considerando la necessità di fornire il proprio numero di cellulare a un social network o a un sito web (un’intrusione nella privacy che non tutti potrebbero gradire), i messaggi di testo sono suscettibili a numerose vulnerabilità – a partire dall’SS7, che qualche anno fa scosse la granitica certezza della sicurezza delle app di chat WhatsApp e Telegram.
- Via-applicazione di autenticazione: la soluzione più popolare (a livello di critica) e in fase di progressiva adozione. Similmente all’autenticazione via-SMS, l’autenticazione a due fattori via-applicazioni specializzate coinvolge un servizio esterno che genera localmente una chiave d’accesso della forma di un codice di 6 cifre (solitamente) che dovrà essere immesso insieme alla password e al nome utente. Tali servizi sono distribuiti su varie app autenticatrici: le più popolari sono Google Authenticator, Authy o il servizio open-source FreeOTP, e funzionano anche in caso di mancata connessione alla rete dal dispositivo ospite.
- Via-notifica push: meno frequente, ma più sicuro dei metodi precedentemente esposti. L’autenticazione a due fattori viene risolta interagendo con una notifica che viene visualizzata dopo l’immissione di password e nome utente: questa viene o visualizzata all’interno dell’app o del servizio in uso su un altro dispositivo – come nel caso di Telegram – o direttamente sullo smartphone come nel caso dell’autenticazione a due fattori al momento del primo accesso ai propri profili Google. Si tratta di un metodo più sicuro poiché spesso il servizio di autenticazione allega alla notifica alcune informazioni di identificazione, come l’indirizzo IP o la posizione geografica del dispositivo che sta tentando l’accesso. In questo modo tutti i tentativi di penetrazione forzosa dell’account sono meglio rintracciabili, ma al contempo richiede una connessione Internet per funzionare e non si tratta di un servizio centralizzato (non esiste un’app singola dalla quale attuare l’autenticazione a due fattori, ma viene implementato singolarmente e diversamente da ogni piattaforma).
- Via-token di sicurezza: il meno diffuso, ma più sicuro metodo di autenticazione a due fattori. Ad ogni account supportato viene collegato un dispositivo fisico d’accesso – spesso una chiavetta USB. L’entrata al profilo non viene dunque consentita sino a che il token non viene inserito o accostato al device: mentre nel caso dei PC la scelta più ovvia è l’interazione tramite porta USB, nel caso degli smartphone la situazione diventa più complessa. Le chiavette per l’autenticazione a due fattori sono infatti equipaggiate solitamente con tag NFC: si collegano velocemente a tutti i principali dispositivi Android e non richiedono una forma di alimentazione particolare; i device Apple invece non supportano la tecnologia NFC e necessitano invece del Bluetooth Low Energy (BLTE), che però comporta alcuni svantaggi che non tutti i produttori di questi dispositivi hardware intendono sopportare. Il principale di questi? La necessità di una batteria all’interno del token che alimenti il sensore Bluetooth.
Come attuare la 2FA - Autenticazione a due fattori: come funziona
Se intendete attivare l’autenticazione a due fattori per il vostro account, bisognerà che verifichiate se il servizio al quale siete iscritti supporti effettivamente l’autenticazione a due fattori. Per questo è stato ideato il sito web TwoFactorAuth: inserite nella barra di ricerca il nome dell’applicazione o della piattaforma e controllate che sotto la voce “Software token” sia presente una spunta verde. In caso di riscontro positivo, potrete procedere con il download dell’applicazione Authy: un’app di autenticazione a due fattori che vi aiuterà ad accedere ai vostri account, fornendovi un codice generato in locale sul dispositivo da inserire ad ogni nuovo accesso e di cui disporrete voi, e solo voi.
Come impostare la 2FA su Facebook
Prec
1 di 3
Succ
Non è però ancora tempo di accedere ad Authy: ancora prima dovrete attivare l’autenticazione a due fattori sul servizio o sulla piattaforma che volete mettere in sicurezza: sfortunatamente, non esistono percorsi standard comuni a tutte o alla maggior parte delle applicazioni – dovrete esplorare a fondo le impostazioni di ciascuna app. Su Facebook, per esempio, dovrete procedere alla quarta sezione dell’app, scorrere sino alla voce “Impostazioni” > “Protezione e accesso” > “Usa l’autenticazione a due fattori” e seguire le indicazioni dell’app; su Twitter dovrete accedere a “Impostazioni e privacy”, posta nel menu laterale, e da qui procedere su “Account e privacy” > “Account” > “Sicurezza” > “Verifica dell’accesso”. Notate bene: al primo setup dell’autenticazione a due fattori Twitter vi chiederà di procedere inizialmente via-SMS, dopodiché sarete liberi di collegare un’app per l’autenticazione.
Authy: Iscrizione
Prec
1 di 2
Succ
Una volta completato questo passaggio, potrete accedere ad Authy. L’app inizialmente vi chiederà di collegare un numero di telefono e un’email per la registrazione dell’account, che potrete verificare via-SMS o telefonata.
Poi tappate sull’icona “+” posta al centro della schermata che vi apparirà davanti: normalmente verreste rediretti alla sezione di avvio dell’autenticazione a due fattori, ma al vostro primo accesso vi sarà richiesto di inserire una password per l’abilitazione dei backup – tramite questa password sarete in grado di accedere ai vostri token su altri dispositivi.
Inserita la password, potrete finalmente collegare il vostro primo servizio a-due-fattori: tornate sull’applicazione del suddetto servizio e posizionate il QR-Code che vi verrà mostrato davanti alla fotocamera dello smartphone, e scansionatelo tramite Authy – oppure limitatevi a copiare e incollare il codice di 16 cifre annesso al codice QR, se state svolgendo l’intera procedura dallo stesso dispositivo.
E… voilà! Ora, ogni volta che effettuerete nuovamente il login al servizio, dovrete immettere anche il codice fornito da Authy oltre all’email e alla password per accedere.
Il mal-pensiero comune - Autenticazione a due fattori: perché è utile
A cosa serve l’autenticazione a due fattori, l’avete potuto constatare già da queste righe: impedisce ad hacker e malintenzionati di penetrare i vostri account, che normalmente sarebbero “bucabili” molto più facilmente di quanto immaginiate, rendendo necessario di contro un passaggio ulteriore ma di facile settaggio e di veloce applicazione.
Sfortunatamente, l’autenticazione a due fattori non è diffusa quanto dovrebbe essere, in Italia quanto nel mondo: uno studio condotto su 500 volontari da parte del professore dell’Università dell’Indiana L. Jean Camp e dal dottorando (presso l’Università di Bloomington) Sanchari Das ha portato alla luce un’errata quanto radicata convinzione per cui, davanti ad una password ritenuta “abbastanza sicura”, non sia necessario implementare alcuna forma di protezione ulteriore. Ma è falso: solamente nell’agosto 2018 un’ondata di hackeraggi ha portato alla penetrazione di migliaia di account Instagram e Reddit: i primi nonostante l’utilizzo dell’autenticazione a due fattori via-SMS (come già detto, la meno sicura ma comunque l’unica supportata attualmente da Instagram); i secondi per via della mancata implementazione della 2FA.
Eppure le soluzioni a disposizione abbondano, anche per chi è alla ricerca di protezione ulteriore: nel 2018 Google ha istituito l’Advanced Protection Program, che intensifica il livello di sicurezza già offerto dall’autenticazione a due fattori – il tutto gratuitamente. Sarà però necessario possedere due token fisici d’accesso e appoggiarsi unicamente ai Google Services, gli unici che supportano il programma.
Scopri tutti i pericoli delle applicazioni false su Google Play nella nostra GNU dedicata!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime Guide per Nuovi Utenti nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!
