Cos’è l’Autenticazione a 2 Fattori (2FA), a cosa serve e come funziona

0
autenticazione a 2 fattori 2fa

L’autenticazione a due fattori (2FA) è uno dei migliori sistemi per aumentare e migliorare la sicurezza dei tuoi account online, a prescindere che siano inerenti al mondo blockchain e crittovalute (diversi wallet online come Coinbase, offline come Electrum o hardware come Trezor e Ledger Nano S offrono questa opzione) o meno. Fortunatamente, tale sistema sta diventando uno standard e giorno dopo giorno sta diventando sempre più comune nel web. Grazie a pochi click per un determinato account da “confermare”, 2FA (Two-Factor Authentication) aggiunge un ulteriore livello di sicurezza ai tuoi account oltre alla password.

Oltre a richiedere la normale password per permettere l’autenticazione ad un prodotto o servizio, solitamente collegato al web, un account protetto con 2FA richiederà una seconda validazione (che solitamente avviene tramite il tuo telefono o una speciale chiavetta USB).

Una volta inserita la tua password infatti ti verrà recapitato un codice, tramite sms o da un’app installata sul tuo telefono, che dovrai inserire per effettuare il login. Alcune piattaforme chiamano in modi diversi l’Autenticazione a 2 Fattori (2FA), alcuni esempi sono:

  • Multi-Factor Authentication (MFA)
  • Two Step Verification (2SV)
  • Login Approvals
  • ed altri sinonimi

Indipendentemente dal nome, l’idea di fondo la stessa: anche se qualcuno viene in possesso della tua password principale, non potrà accedere ai tuoi account personali a meno che non disponga anche del tuo telefono o della tua chiavetta di protezione.

Pubblicità
Coiners Facebook Messenger

Esistono quattro tipi principali di Autenticazione a 2 Fattori 2FA in uso comune dai siti web in tutto il mondo, ed è utile conoscerne le differenze. Alcuni siti offrono un’unica opzione, altri siti offrono alcune opzioni diverse. Prima di entrare nella guida tecnica ti consigliamo di visitare il sito web twofactorauth.org per scoprire quali siti web supportano 2FA e come e abilitare 2FA per il maggior numero possibile di account online.

Ci teniamo a ricordare comunque che la possibilità di configurare ed abilitare 2FA non significa che tu debba utilizzare password deboli. Cerca sempre di utilizzare password univoche e forti per ciascuno dei tuoi account (l’ideale sarebbe utilizzare password casuali alfanumeriche con caratteri speciali); un utile servizio per generare password del genere è passwordsgenerator.net.

 

Autenticazione a 2 Fattori con SMS – SMS 2FA

Quando decidi di avvalerti dell’SMS 2FA in un sito, ti verrà richiesto di fornire un numero di telefono in fase di registrazione/abilitazione dell’opzione. Una volta abilitato, quando effettuerai il normale login con il tuo nome utente e la tua password, ti verrà chiesto di inserire un codice numerico breve (solitamente di 5-6 cifre) che verrà inviato al tuo telefono attraverso un sms. Questa è probabilmente l’opzione più utilizzata nei siti web, poiché la maggior parte delle persone ha un numero di telefono e ricevere un SMS non richiede l’installazione di un’applicazione. Fornisce un significativo incremento della sicurezza del tuo account rispetto ad un tipico login formato da nome utente e password.

smartphone push 2fa

 

Tuttavia ci sono alcuni svantaggi… Alcune persone potrebbero non essere a proprio agio nel dare il proprio numero di telefono, dato che vi identificherebbe e darebbe un’identità, ad un determinato sito web o piattaforma. Peggio ancora: alcuni siti web potrebbero utilizzare lo stesso numero di telefono per scopi di marketing tra cui pubblicità mirata, monitoraggio delle conversioni ed altro; per questo motivo vi consigliamo sempre di leggere attentamente i termini di servizio, l’informativa sulla privacy e le spunte che mettete in fase di registrazione/abilitazione.
Una cosa ancora più grave è il fatto che alcuni siti web e servizi permettano il reset della password attraverso lo stesso numero utilizzato per l’autenticazione a 2 fattori tramite sms. Permettere di reimpostare la password tramite lo stesso numero di telefono fornito per 2FA è un problema particolarmente grave, in quanto lascerebbe via libera a crackers ed hackers che utilizzano le acquisizioni di numero di telefono nell’attaccare ed accedere al tuo account senza nemmeno conoscernee la password.

Inoltre, in quanto basato sulla ricezione di un SMS, non è possibile accedere con SMS 2FA se il telefono è spento o se non ha copertura di rete. Questo potenzialmente potrebbe essere un grosso inconveniente quando si viaggia all’estero. Per ultima cosa ma non così impossibile come si potrebbe pensare, un cracker particolarmente bravo con tecniche di social engineering  e doxing potrebbe convincere il tuo operatore telefonico nell’assegnare il tuo numero di telefono a una scheda SIM diversa, permettendo così di entrare in possesso del codice 2FA. I difetti nel protocollo di telefonia SS7 possono consentire la stessa cosa.

App Authenticator / TOTP 2FA

Un’ulteriore possibilità d’uso del 2FA è quella di utilizzare un’applicazione che genera codici in base a una chiave segreta. Google Authenticator è molto probabilmente l’app più utilizzata a questo scopo mentre se siete amanti dell’open source FreeOTP è un’alternativa decisamente più interessante. La tecnologia che sta alla base di questa particolare autenticazione a 2 fattori è chiamata “Time-Based One Time Password” (TOTP) e fa parte dell’architettura Open Authentication (OATH) (che non dev’essere confusa con OAuth, la tecnologia che sta alla base dei login “Accedi con Facebook” e ” Accedi  con Twitter ” presente in alcuni siti web).

google authenticator

Se un sito offre questa tipologia di 2FA, mostrerà un codice QR contenente la chiave segreta. Tutto ciò che dovrai fare sarà scannerizzare tale codice QR dall’applicazione e automaticamente il servizio verrà collegato all’app. Se possiedi più telefoni potrai eseguire la scansione più volte e se preferisci potrai semplicemente salvare o stampare l’immagine del codice in un luogo sicuro (principalmente per conservarne un backup). Una volta scansionato il codice QR e collegato all’app, quest’ultima genererà un nuovo codice pin a 6 cifre ogni 30 secondi, aumentando in maniera grandiosa la sicurezza del tuo account.

L’autenticazione a 2 fattori tramite app è decisamente migliore di quella tramite SMS sia perché ti permetterà di effettuare il login anche quando il tuo telefono non è connesso ad una rete mobile e perché la chiave segreta viene memorizzata fisicamente sul tuo telefono, sia perchè se qualcuno entrerà in possesso del tuo numero di telefono non potrà farci nulla in quanto non potrà ricevere il codice per l’autenticazione. Anche questo metodo però ha dei piccoli svantaggi: se il tuo smartphone si rompe o viene rubato e non hai stampato codici di backup o una copia salvata del codice QR originale, potresti perdere l’accesso al tuo account. Per questo motivo molti siti ti incoraggeranno di abilitare l’autenticazione a 2 fattori tramite SMS come backup (nel caso qualcosa andasse storto). Inoltre, se accedi frequentemente su diversi device, potrebbe essere decisamente scomodo ogni volta sbloccare il telefono, aprire l’app e digitare il codice pin.

Push-based 2FA

Alcuni sistemi, come Duo Push e il metodo Trusted Devices di Apple, inviano una notifica “push” al tuo smartphone o tablet quando qualcuno effettua l’accesso. Questa notifica sta ad indicare che qualcuno (indipendentemente che siate tu o qualcun’altro) sta cercando di accedere; assieme alla notifica viene inviata anche una posizione stimata (ip e locazione) dell’utente. Potrai quindi approvare o negare il tentativo d’accesso.

Questo particolare 2FA è migliore rispetto alle precedenti autenticazioni a 2 fattori per due motivi: ricevere una semplice notifica è più immediato rispetto al digitare un codice ed allo stesso tempo è più sicuro durante attacchi phishing. Con le precedenti autenticazioni infatti un sito di phishing può semplicemente chiederti il codice oltre alla password ed inviare tale codice al sito finale (originale), accedendo con le tue credenziali. Poiché l’2FA push-based mostra solitamente una posizione stimata in base all’indirizzo IP da cui è stata effettuata la richiesta d’accesso e la maggior parte degli attacchi phishing parte da intervalli di indirizzi IP diversi rispetto a quelli delle vittime, è possibile (e con molta facilità) individuare se c’è un attacco di phishing in corso. Tuttavia, siccome la posizione mostrata è solo una stima, potrebbe capitare che visualizzi “falsi positivi”, in tal caso procedi ignorando le eventuali segnalazioni. Anche in questo caso, la protezione aggiuntiva di phishing fornita dal push-based 2FA è limitata.

autenticazione a 2 fattori tramite sms

 

Passiamo ora agli svantaggi dell’autenticazione a 2 fattori push-based: non è standardizzato, quindi non avrai molta scelta sulle app da utilizzare e non puoi detenere tutte le credenziali push-based in un’unica applicazione. Inoltre, richiede una connessione dati attiva sullo smartphone, mentre le applicazioni Authenticator citate nel 2FA precedente non richiedono alcuna connessione e 2FA SMS funziona su qualsiasi smartphone capace di ricevere un SMS.

FIDO U2F / Security Keys

Universal Second Factor (U2F) è una tipologia di 2FA relativamente nuova, in cui vengono utilizzati piccoli dispositivi USB, NFC o Bluetooth Low Energy (BTLE) chiamati spesso “chiavi di sicurezza”. La configurazione e l’abilitazione di tali chiavette su un sito è semplice, basterà infatti registrare il dispositivo U2F ed il gioco è fatto. Una volta collegato, il sito richiederà di connettere il dispositivo e “tappare” per consentire l’accesso.

Come 2FA push-based, ciò significa che non dovrai digitare alcun codice pin. Sotto il cofano, il dispositivo U2F riconosce il sito in cui si sta tentando di accedere e risponde con un codice firmato specificatamente per quel sito. Ciò significa che U2F ha un vantaggio molto importante rispetto agli altri metodi 2FA: è realmente a prova di phishing, perché il browser include il nome del sito quando comunica con il dispositivo U2F e quest’ultimo non risponde ai siti cui non è registrato ed abilitato. U2F è anche molto utile lato privacy: puoi utilizzare lo stesso dispositivo U2F in più siti, ma avrai un’identità diversa per ogni sito,

I principali punti di forza di U2F sono il supporto del browser, il supporto per smartphone ed il costo. Al momento solo Chrome supporta U2F, anche se Firefox sta lavorando ad una implementazione. Il W3C sta lavorando ad un ulteriore standardizzazione del protocollo U2F per il web, che dovrebbe portare ad un’adozione di massa. Inoltre, il supporto mobile è relativamente impegnativo, poichè la maggior parte dei dispositivi U2F usa USB (e non microUSB).

Ci sono una manciata di dispositivi U2F che funzionano con i telefoni cellulari tramite NFC e BTLE. NFC è supportato solo su Android. Su iOS, Apple non consente attualmente alle applicazioni di interagire con l’hardware NFC, il che impedisce l’utilizzo di NFC U2F. BTLE è molto meno auspicabile perché un dispositivo BTLE U2F richiede una batteria interna e l’accoppiamento tra smartphone e device è meno intuitivo che toccando un dispositivo NFC. La maggior parte dei siti web che supportano U2F supportano anche i codici TOTP e di backup, quindi potrai comunque bypassare questo inconveniente. Potrai quindi accedere una sola volta sul tuo dispositivo mobile usando una di quelle opzioni, mentre la cosa migliore per il desktop sarà utilizzare il tuo dispositivo U2F anti-phishing; ciò è particolarmente efficace per i siti web e le app che richiedono solo l’accesso solo la prima volta e ricordano il login.

Conclusione

La maggior parte dei dispositivi U2F costa in media tra i 10 ed i 20 euro. A breve pubblicheremo una lista comparativa su diversi dispositivi U2F con le relative recensioni, quindi ricordati di controllare spesso il nostro sito e questo articolo se sei interessato!. Su GitHub inoltre potrai trovare un autenticatore U2F gratuito ed open-source basato su software per macOS,. Ricorda però che usando questo come il tuo unico dispositivo U2F significherebbe che nel caso perdessi il tuo computer portatile potresti perdere anche l’accesso al tuo account.

LASCIA UN COMMENTO

Inserisci il tuo commento!
Inserisci qui il tuo nome

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.