Non si contano più i furti di dati che avvengono sui server delle aziende che mettono a disposizione servizi Internet così come sui sistemi di imprese e utenti finali. I criminali informatici hanno spesso come obiettivo quello di sottrarre le credenziali personali degli utenti, per l’accesso ai vari servizi online.
Come suggeriamo da tempo, la cosiddetta autenticazione a due fattori permette di effettuare il login sui servizi utilizzando una misura di sicurezza aggiuntiva.
Oltre alle normali credenziali di accesso, infatti, per poter autenticarsi sarà necessario introdurre non soltanto queste ultime ma superare una seconda verifica basata su una propria caratteristica fisica (utilizzo di sensori biometrici) o su qualcosa che si possiede (di solito l’utente è invitato ad inserire un codice autorizzato ricevuto su smartphone o cellulare) ma è possibile anche usare lettori di smart card o altri dispositivi simili.
Gran parte dei servizi online che offrono l’autenticazione a due fattori (Google la chiama verifica in due passaggi; vedere Verifica in due passaggi Google: solo 10% degli utenti la usano), consentono di effettuare il login con l’inserimento di nome utente e password quindi, successivamente, attraverso l’inserimento di un codice ricevuto sul proprio cellulare o smartphone mediante SMS o su un’apposita app (si tratta del secondo livello di autenticazione che usa il sistema tutto italiano chiamato SPID e che è utilizzabile per l’accesso, con le stesse credenziali, a tutti i servizi online della Pubblica Amministrazione: SPID, come ottenere l’identità digitale presso un gestore accreditato).
Molto valido è il sistema di autenticazione a due fattori che Google ha chiamato Messaggio di Google (vedere questa pagina per la sua configurazione): in questo caso basta accoppiare al proprio account utente uno smartphone sul quale si usa il medesimo account Google. In caso di login con le credenziali corrette (nome utente e password) da un PC o da un dispositivo non ancora noto a Google, comparirà automaticamente una richiesta di conferma dell’accesso sullo smartphone dell’utente.
Tutto ciò che si dovrà fare è autorizzare o negare la connessione, senza ricevere comunicazioni via SMS, senza digitare codici e senza usare altri metodi.
In alternativa molti servizi online consentono l’utilizzo di speciali token U2F FIDO per l’autenticazione a due fattori: si tratta di dispositivi che si presentano come chiavette USB e che una volta collegati (anche in modalità wireless) al dispositivo sul quale si sta tentando il login permettono di autorizzare la connessione (vedere Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2).
Il secondo fattore è quindi fondamentale per mettere al riparo i propri account: anche nel caso in cui i criminali informatici venissero a conoscenza delle credenziali dell’utente non potranno accedere ai suoi dati perché non potranno venire contemporaneamente in possesso dello smartphone, del token o del lettore.
L’autore del sito Have I been pwned dimostra ogni giorno quante credenziali entrano in possesso dei criminali informatici: Diffuso in rete un archivio con 773 milioni di indirizzi email e password: verificate se ci sono anche i vostri.
Nell’articolo Password violate o insicure: come verificare le proprie abbiamo illustrato diversi metodi per controllare se le proprie password fossero in mano di malintenzionati; il tutto senza inviarle in rete ed effettuando i controlli, singolarmente o in blocco, in ambito locale.
Modificare la password dei propri account con una certa periodicità è certamente un buon approccio ma l’autenticazione a due fattori è la migliore garanzia per evitare problemi.
Non solo. Essa mette al riparo l’utente da domande di sicurezza impostate con superficialità (i criminali informatici possono impossessarsi degli account altrui sfruttando date, nomi e dettagli personali che spesso vengono condivisi sui social network…).
Suggeriamo quindi di affidarsi sempre a servizi che permettono l’attivazione dell’autenticazione a due fattori e di controllarne con la massima attenzione le impostazioni di sicurezza.
Un ottimo sito web che raccoglie i servizi che permettono l’autenticazione a due fattori si chiama 2FA Directory ed è raggiungibile cliccando qui.
Si tratta di una pagina che raccoglie la maggior parte dei servizi oggi disponibili online e che per ciascuno di essi riporta il livello di sicurezza offerto.
Per ciascun sito, 2FA Directory indica se si possa utilizzare solo l’autenticazione mediante credenziali di accesso (nome utente e password) oppure se agli utenti venga data facoltà di attivare autenticazione a due fattori via SMS, chiamata telefonica, email, token hardware oppure token software.
2FA Directory suddivide i servizi di terze parti in varie categorie e può essere quindi sfruttato per selezionare quelli che sulla carta offrono le migliori garanzie in termini di sicurezza.