Oltre le password: come utilizzare l’autenticazione a due fattori –2FA – per aumentare la sicurezza

18/11/2020

Come evitare di farsi Hackerare i propri account online? Con l’autenticazione a due fattori: è una misura di sicurezza fondamentale che richiede informazioni extra quando si effettua l’accesso a dei servizi particolarmente importanti. Nel presente post verrà spiegato come impostare la 2FA e su quali account concentrarsi per primi.

 

Basta una sola infrazione dei dati per vedere stravolta la propria vita online. Il problema sono le password, barriere estremamente fragili e inadatte alla protezione di preziose risorse online.

Lezione di sicurezza informatica #1: proteggi la tua privacy da hacker, da spie e dal governo

A fare la differenza tra perdere i tuoi account online e preservare la tua privacy, oramai un bene prezioso, sono pochi e semplici passi.

Non farti cullare da un falso senso di sicurezza che ti porta a credere che la creazione di una password più lunga, più complessa e più difficile da indovinare ti renderà più sicuro online. Puoi creare una password talmente lunga e difficile da impiegare cinque minuti per immetterla, ma ciò non servirà a proteggerti se il servizio in cui usi quella password la conserva impropriamente e diventa vittima di un attacco. Purtroppo, questo succede regolarmente.

Nonostante le politiche sensate messe in atto (complessità, modifica periodica, non riutilizzo di password vecchie), sono le persone l’anello più debole della catena di sicurezza. L’ingegneria sociale riesce a convincere perfino i più intelligenti a inserire le proprie credenziali in un sito di phishing o a ottenerle tramite telefono.

La soluzione risiede nell’autenticazione a due fattori, o 2 Factor Authentication (2FA). Una relazione di Microsoft risalente al 2019 ha concluso che la 2FA funziona, bloccando il 99,99% degli attacchi automatizzati. Sempre che il service provider la supporti, Microsoft consiglia di utilizzare l’autenticazione a due fattori anche nel caso in cui consista nella semplice one-time password via SMS. Anche un report simile di Google anch’esso del 2019 ha tratto conclusioni simili. 

COME FUNZIONA LA 2FA?

L’abilitazione della 2FA per un servizio modifica i requisiti di sicurezza, costringendoti a fornire almeno due prove di identità quando provi ad accedere per la prima volta a un servizio sicuro da un dispositivo sconosciuto. Queste due forme di autenticazione possono derivare da qualsiasi combinazione di almeno due dei seguenti elementi:

  • Qualcosa che conosci” come password o PIN
  • Qualcosa che sei” come l’impronta digitale o altri parametri identificativi biometrici
  • Qualcosa che possiedi” come uno smartphone di fiducia che può generare o ricevere codici di conferma, oppure un dispositivo di sicurezza dotato di hardware

 

Nella maggior parte dei casi, i sistemi con autenticazione a due fattori che si vedono oggigiorno utilizzano il primo (la tua password) e l’ultimo elemento (il tuo smartphone). Gli smartphone sono diventati onnipresenti, rendendoli i dispositivi di sicurezza ideali.

Il tuo smartphone può prestarsi all’autenticazione mediante l’emissione di un codice singolo che utilizzi per effettuare l’accesso assieme alla tua password. Puoi acquisire tale codice con due metodi: tramite un messaggio inviato dal servizio oppure generato da un’app installata sul tuo telefono.

Se si prova ad accedere a un account protetto dalla 2FA, occorrerà una seconda prova di identità, per esempio il codice di un’app di autenticazione.

Se questa richiesta di accesso dovesse essere fatta da un individuo che ha rubato le vostre credenziali Google, non avrebbe modo di procedere. Senza quel codice non è possibile proseguire con il processo di accesso.

La maggior parte dei servizi offre la possibilità di stampare codici di recupero backup che puoi conservare in un posto sicuro e utilizzare nel caso in cui il metodo secondario di autenticazione che impieghi di solito sia indisponibile. Quei codici ti torneranno utili se dovessi perdere o danneggiare lo smartphone o se ti dovesse venire rubato.

Sebbene scegliere una password solida contribuisca enormemente a mettere in salvo i tuoi preziosi account online, l’autenticazione a due fattori basata su hardware costituisce un livello di sicurezza superiore.

QUAL È IL MIGLIOR METODO DI AUTENTICAZIONE?

Il miglior metodo di autenticazione è quello con cui vi trovate meglio. Assicuratevi solamente di disporre almeno di due opzioni per non correre il rischio di non riuscire ad accedere al tuo account. 

Solitamente è meglio ricevere il codice di autenticazione tramite un'app specifica piuttosto che tramite SMS per due motivi:

  1. capita spesso di avere accesso a Internet (tramite una connessione Wi-Fi o con fili) senza riuscire a ricevere gli SMS a causa della scarsa ricezione o perché quando si è in viaggio si usa una SIM diversa.
  2. Per la possibilità remota ma pur sempre reale che un attacker abbatta le barriere di sicurezza del tuo operatore telefonico per acquisire una SIM col tuo numero di telefono, una dinamica chiamata “SIM-jacking”.

L’app 2FA più famosa è Google Authenticator, disponibile su iOS e Android. Esistono però diverse alternative; siccome il processo di generazione di token sicuri è basato su standard aperti, chiunque può sviluppare un’app di autenticazione che svolga la stessa funzione. Di fatto, puoi utilizzare più di un’app di autenticazione, per esempio Microsoft Authenticator, app che riceve notifiche push da account personali e business sulle piattaforme Microsoft, e Auhty, app di terze parti.

 

Vale la pena sottolineare che le app di autenticazione richiedono la connessione dati solamente durante l’iniziale processo di impostazione. Successivamente, tutto il resto ha luogo sul tuo dispositivo. Il processo dipende da uno standard accettato universalmente che utilizza l’algoritmo TOTP (Time-based One-Time Password, ossia una password usa e getta a tempo). Tale algoritmo utilizza l’app di autenticazione come una sofisticata calcolatrice, la quale genera codici utilizzando l’ora attuale del tuo dispositivo e il segreto condiviso. Il servizio online usa il segreto e il relativo orario per generare codici che esso confronta con quello che immetti. Entrambi i lati della connessione possono adeguarsi al fuso orario senza problemi, ma il codice non funzionerà se l’ora del tuo dispositivo è sbagliata.

QUALI SONO I SERVIZI PIÙ IMPORTANTI DA PROTEGGERE?

Probabilmente disporrete già delle credenziali di accesso a decine di servizi online che supportano la 2FA; pertanto, la migliore strategia consiste nello stilare una lista delle priorità. Per esempio:

  • Gestore di identità/password. Utilizzare un password manager costituisce probabilmente il metodo migliore per assicurarsi che tu abbia una password unica e sicura per ogni servizio; tuttavia, va a creare uno spazio ad altissimo rischio. La 2FA va a porre rimedio questa potenziale vulnerabilità. Occorre inoltre notare come il supporto 2FA sia a pagamento in alcuni software di gestione delle password.  
  • Account Google e Microsoft. Se utilizzi i servizi di una di queste due aziende, passare alla 2FA risulta essenziale, ma fortunatamente anche facile.
  • Account email. Quando un malintenzionato ottiene il controllo del tuo account email, il rischio che corri è altissimo, in quanto i messaggi di posta elettronica costituiscono la base di invio dei link per resettare le password. I messaggi inviati da caselle postali compromesse possono essere utilizzate anche per attaccare i tuoi amici e colleghi (tramite l’invio di allegati carichi di malware, per esempio). Se utilizzi Outlook.com, Exchange Online, Gmail o G Suite, il tuo account di posta elettronica si avvale del metodo di verifica dell’identità associato al tuo account Microsoft o Google. Se invece utilizzi un altro servizio email, dovrai impostare la 2FA a parte.
  • Account social. Così come per le email, il rischio principale associato all’hackeraggio di un account di Twitter o Facebook consiste nel probabile danneggiamento di amici e colleghi. Anche se sei uno che osserva ma non posta, la protezione di questi account è fondamentale.
  • Istituti bancari o finanziari. La maggior parte delle aziende bancarie e di carte di credito hanno effettuato investimenti importanti destinati a programmi back-end di rilevamento delle frodi, motivo per cui le opzioni di 2FA sono solitamente limitate rispetto ad altre categorie. Ciononostante, vale la pena imparare a conoscere tali impostazioni e renderle il più possibile stringenti.
  • Shopping e commercio online. Occorre mettere in sicurezza qualsiasi sito in cui tu abbia salvato una carta di credito.

 

COME IMPOSTO LA 2FA?

Per la maggior parte dei servizi online, l’impostazione di opzioni che garantiscono maggiore sicurezza richiede minime conoscenze tecniche. Se sai utilizzare la fotocamera dello smartphone, digitare il codice a sei cifre e premere OK nella finestra di dialogo, possiedi tutte le conoscenze necessarie. La parte più complicata del lavoro è trovare la pagina contenente le impostazioni rilevanti.

Per iniziare a usare un’app di autenticazione, il primo passo da fare è installare tale app sul dispositivo mobile che intendi usare come secondo fattore di autenticazione:

  • Se possiedi un dispositivo Apple, puoi ottenere l’app Google Authenticator dall’App Store. Per quanto riguarda i dispositivi Android, installa l’app Google Authenticator dal Google Play Store.
  • L’app Microsoft Authenticator, la quale utilizza il medesimo modello per la creazione dei token di autenticazione, è disponibile per i dispositivi Android su Google Play Store, per quelli iOS sull’App Store.
  • Anche Authy è disponibile su Google Play Store e App Store.
  • Se utilizzi il gestore di password LastPass, prendi in considerazione l’idea di installare l’app LastPass Authenticator, sviluppata per il funzionamento congiunto con LastPass su dispositivi mobile e desktop.
  • Se utilizzi il gestore di password 1Password, il supporto 2FA è disponibile per ogni piattaforma. Per ulteriori dettagli sul metodo di utilizzo dell’opzione One-Time Password, consulta questa pagina di supporto 1Password.

 

Dopo aver installato l’applicazione sul tuo dispositivo, il prossimo passo è la sua configurazione in ogni account dove hai abilitato la 2FA.

La guerra cibernetica e il futuro della sicurezza informatica

Oggigiorno, le minacce alla sicurezza sono lievitate e in scopo e in gravità. Sono milioni, se non miliardi, gli euro a rischio quando la sicurezza informatica non viene gestita a dovere.

La prossima volta che provi a effettuare l’accesso con un nuovo dispositivo o da un browser diverso, dovrai inserire il codice appena ricevuto, come mostrato dall’app di autenticazione.

COME TRASFERISCO GLI ACCOUNT 2FA SUL NUOVO SMARTPHONE?

Nel caso in cui come secondo fattore di autenticazione utilizzi gli SMS, se mantieni lo stesso numero anche nel telefono nuovo, le impostazioni 2FA verranno trasferite senza problemi.

Alcune app di autenticazione, tra cui 1Password e Authy, consentono di generare codici su dispositivi multipli. Scarica l’app sul nuovo telefono, accedi e controlla ogni account per confermare che i codici generati nel nuovo telefono funzionino a dovere. Google e Microsoft Authenticator permette di fare il backup dei codici sul cloud, per poi recuperarli nel nuovo dispositivo. Per maggiori dettagli, vedi “Effettua il backup e recupero delle credenziali dell’account tramite l’app Microsoft Authenticator”.

 

 L’autenticazione a due fattori bloccherà sul nascere la maggior parte degli attacchi random. Ciononostante, non è efficace al 100%. Un attacker determinato a colpire direttamente un account specifico potrebbe riuscire a scavalcare la 2FA, soprattutto se riuscisse a mettere mano sull’account email utilizzato per il recupero password o a reindirizzare le chiamate e gli SMS verso un dispositivo che controlla. Tuttavia, se un malintenzionato dovesse impegnarsi così tanto per penetrare nel tuo account, significa che hai problemi ben più grossi.


Se hai bisogno di supporto per la 2FA non esitare a contattarci

--

Crediti: Il seguente articolo ha il solo scopo divulgativo ed è il risultato di una traduzione e ri-adattamento dell'articolo orginale di cui tutti i diritti sono riservati all'autore Ed Bott

Articoli in evidenza

Iscriviti alla newsletter

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Cliccando sul pulsante iscriviti accetti la Privacy Policy

Filter by Tag

No items found.

Filter by Categories

All
No items found.