Su Internet si parla molto dell’autenticazione a due fattori (o 2FA come viene comunemente chiamata) e la maggior parte delle volte si vedono semplicemente persone come noi che ti dicono di usarla.
Continueremo questa tendenza e inizieremo questa guida dicendoti di utilizzare 2FA quando e dove puoi. Tuttavia, ti faremo anche sapere di cosa si tratta e perché devi usarlo. Pronto per saperne di più? Continuare a leggere.
Che cos’è l’autenticazione a due fattori?
In parole povere, l’autenticazione a due fattori (2FA) significa che devi presentare due cose diverse da due fonti diverse che dimostrano chi sei. Generalmente, tre diversi tipi di ID possono essere utilizzati per scopi di 2FA quando si tratta di account online:
- Una cosa che solo tu dovresti sapere. Una password, un PIN, un numero di conto, il tuo indirizzo o anche le ultime quattro cifre del tuo numero di previdenza sociale rientrano qui.
- Una cosa che puoi tenere tra le mani. Ciò significa il tuo telefono, un telecomando di autenticazione o una chiave di sicurezza USB .
- Una cosa che fa parte di te, come la tua impronta digitale, il pattern della retina o il pattern vocale.
Quando hai abilitato 2FA su un account, hai bisogno di due di queste tre cose per ottenere l’accesso.
Hai sempre usato 2FA e probabilmente non te ne sei reso conto.
Hai utilizzato 2FA per la maggior parte della tua vita adulta. Le società che elaborano i pagamenti con carta di credito per i rivenditori online di solito ti obbligano a inserire il codice a tre cifre sul retro della carta di credito e il numero della carta, quindi devono fornire l’indirizzo di fatturazione. I numeri sulla carta (sia davanti che dietro) sono un modo per assicurarti di avere la carta in tuo possesso per il primo metodo di autenticazione, quindi l’indirizzo che fornisci deve corrispondere a quello che l’emittente della carta ha in archivio come secondo modo per dimostrare chi sei Questo è 2FA.
Ai tempi in cui il mondo usava ancora gli assegni per pagare le cose, la maggior parte delle aziende voleva due forme di identificazione fisica da un luogo ben noto come il tuo DMV statale o la scuola come un modo per assicurarsi di essere la persona il cui nome è in cima al dai un’occhiata. Questo è anche 2FA. Inoltre, per ottenere quegli ID di solito sono necessarie più cose da luoghi diversi per dimostrare chi sei.
L’uso della 2FA per i tuoi account online è un po’ diverso, ma utilizza comunque lo stesso principio: se puoi fornire più di un metodo per dimostrare chi sei, probabilmente sei chi dichiari di essere. Per un account come Google, Facebook o Amazon, devi fornire una password. La tua password è qualcosa che solo tu dovresti sapere, ma a volte altre persone possono ottenerla. Quando aggiungi un requisito 2FA, come un token di autenticazione inviato al tuo telefono o qualcosa come la chiave di sicurezza di Google Titan che colleghi al tuo computer, una password non è più sufficiente per accedere al tuo account. Senza entrambi i pezzi di autenticazione, sei bloccato.
Ho ancora bisogno di una password complessa se utilizzo l’autenticazione a due fattori?
Con tutti i vari servizi online a tua disposizione, è importante avere una password univoca per ognuno di essi. Le password duplicate ti rendono potenzialmente hackerato nel caso in cui qualcuno si impossessi di una password e poi tenti di usarla in siti diversi. È impossibile mantenere tutte le password archiviate nella memoria, ed è qui che entrano in gioco i gestori di password.
La cosa grandiosa è che i gestori di password si sono evoluti così tanto che molti di loro offrono funzionalità aggiuntive che non solo sono utili ma continuano a mantenere riservate le tue informazioni. Ad esempio, 1Password è attualmente il nostro gestore di password preferito grazie alla sua facilità d’uso. Ma l’app può anche fungere da autenticatore 2FA dopo che tutto è stato impostato. Il codice si aggiorna regolarmente ed è molto più sicuro che fare affidamento sui messaggi SMS per l’autenticazione.
I gestori di password sono ottimi strumenti per assicurarti di avere una password lunga e univoca per tutti i tuoi account online, ma una password complessa non è una scusa sufficiente per ignorare l’autenticazione a due fattori e non usarla. Quasi tutte le password possono essere violate se qualcuno è abbastanza persistente e ha la giusta quantità di potenza di calcolo, ma bypassare 2FA tramite un’app dedicata o una chiave di sicurezza è praticamente impossibile a meno che tu non abbia accesso a quel dispositivo fisico.
In quanto tale, va in entrambe le direzioni. Solo perché utilizzi l’autenticazione a due fattori non significa che dovresti ignorare una password complessa. Allo stesso modo, devi comunque utilizzare l’autenticazione a due fattori anche se hai (quello che pensi sia) una password non hackerabile.
L’autenticazione a due fattori è sicura?
Sì e no. Usare 2FA su un account è molto più sicuro che non usarlo, ma niente è perfettamente sicuro. A parte quel pensiero spaventoso, l’uso di 2FA è solitamente una protezione sufficiente per le tue “cose” a meno che tu non sia un bersaglio di alto profilo o davvero sfortunato.
L’utilizzo della 2FA è in genere una protezione sufficiente per i tuoi account e servizi online.
Sul lato positivo, se stai utilizzando 2FA e alcune false e-mail di phishing ti inducono a fornire la tua password, non possono comunque accedere al tuo account. Il modo in cui la maggior parte delle persone usa la 2FA per gli account online è avere un token inviato a un’app sui propri telefoni Android e, senza quel token, il truffatore di posta elettronica non avrà fortuna nell’accesso. Inseriranno il nome utente o l’ID del tuo account, quindi la password e quindi dovranno fornire quel token per andare oltre. A meno che non abbiano il tuo telefono, il lavoro necessario per aggirare il secondo requisito dell’ID è sufficiente per convincere il cattivo a dire “scordatelo!” e passare a qualcun altro.
D’altra parte, se sei qualcuno come il Presidente o Mick Jagger, le persone vorranno entrare nei tuoi account e ci sono modi. La comunicazione tra le persone che forniscono il token di autenticazione e il tuo telefono è per la maggior parte sicura, quindi gli aggressori cercano il sito Web o il server chiedendo le credenziali. Persone molto intelligenti possono dirottare token di autenticazione e cookie e non appena un metodo viene aggiornato, iniziano a cercarne un altro. Questo richiede molta conoscenza e duro lavoro, il che significa che il risultato deve valere tutto. È probabile che tu e io non valiamo la pena, quindi 2FA è un modo eccellente per proteggere i nostri account.
Come si usa l’autenticazione a due fattori?
È più facile di quanto potresti pensare!
La configurazione di 2FA su un account è un processo in tre fasi. Devi fornire le tue credenziali correnti digitando di nuovo la tua password (questo aiuta a impedire a qualcun altro di aggiungerla al tuo account), anche se sei attualmente connesso al servizio. Quindi vai nelle impostazioni dell’account e abilita 2FA sul tuo account. Ciò consente al server di sapere che desideri abilitarlo e ti chiederà quale tipo di autenticazione utilizzerai: i più comuni sono i codici inviati al telefono come messaggio SMS o tramite un’applicazione di autenticazione. Infine, affermi la modifica fornendo un token al server. Se stai utilizzando un’app, questo potrebbe essere un codice a barre che devi scansionare o inserire manualmente alcune informazioni nell’app. Se hai scelto di utilizzare gli SMS, ti verrà inviato un codice che devi inserire sul sito Web per completare le cose.
L’ultimo passaggio si verifica quando desideri accedere nuovamente a quell’account. Inserirai un nome utente o un ID, quindi una password e ti verrà chiesto di fornire un numero di autenticazione. Quel numero viene inviato come SMS, ad esempio, o nell’app sul tuo telefono se hai deciso di seguire quella strada. Digita quel numero nel campo di testo e il gioco è fatto! Hai accesso.
La maggior parte dei servizi memorizzerà un token di autenticazione sul tuo telefono o computer, quindi non dovrai fornire nuovamente il codice la prossima volta che vorrai accedere. Tuttavia, se desideri configurare l’accesso da un altro luogo, avrai bisogno di un codice. Sebbene il processo sia praticamente lo stesso indipendentemente dal fatto che tu stia impostando 2FA sul tuo account Google o semplicemente cercando di mantenere i tuoi pagamenti Amazon sicuri e protetti, ci sono alcune differenze qua e là.
Qualcos’altro di cui sentiamo parlare ogni volta che vari account Twitter finiscono per essere violati e quegli account iniziano a twittare cose strane. Con una piattaforma grande come Twitter, è estremamente importante assicurarsi di avere impostato 2FA , oltre a cambiare regolarmente la password.
Qual è il miglior metodo di autenticazione a due fattori?
Le app più popolari hanno l’impostazione predefinita SMS 2FA. Inserisci le tue credenziali di accesso, ricevi un SMS con un codice a sei cifre, inseriscilo nella casella e chiedi al sito di ricordare il tuo browser la prossima volta. Semplice! Ma nel peggiore dei casi, qualcuno dopo il tuo account può intercettare un messaggio SMS o convincere un operatore che sei tu e ottenere il tuo numero assegnato alla sua carta SIM. Per quanto improbabili, gli exploit SMS lasciano il tuo account più vulnerabile di quanto dovrebbe essere.
Classificando i migliori metodi 2FA , una chiave U2F è la nostra opzione preferita ma anche la più scomoda. Un dispositivo come Yubico Yubikey 5 o Titan Security Key invia un codice di verifica firmato al server specifico del sito, del tuo account e del dispositivo stesso. Una volta connesso ad un account, nessuno può accedervi senza la chiave; è così corazzato che se lo perdi, non entrerai mai più nel tuo account. Quindi ti consigliamo di acquistare un backup e due di questi possono diventare piuttosto costosi.
Un’opzione più conveniente è la 2FA basata su push, utilizzata da Google e Apple. Invece di inviare un SMS, ricevi una notifica che tocchi per ricevere il codice. Finché non perdi il telefono (o qualsiasi altro dispositivo associato all’account), nessuno dovrebbe essere in grado di ottenere il tuo codice 2FA. L’unico aspetto negativo di questo metodo è che è necessaria una connessione wireless per ricevere la notifica; cellulare non funziona.
Poi hai le app di autenticazione, che generano password una tantum (TOTP) basate sul tempo senza una connessione online. Sebbene siano più sicuri degli SMS, i phisher possono comunque utilizzare il tuo login e TOTP per accedere a un sito Web se glielo fornisci, quindi devi procedere con più attenzione e assicurarti che la pagina di accesso sia legittima.
Perché l’autenticazione a due fattori è così importante?
In un mondo sempre più connesso con nuovi problemi di sicurezza e privacy che emergono quasi ogni giorno, è importante che tutti là fuori prendano le precauzioni necessarie per proteggere il più possibile la propria presenza online.
L’autenticazione a due fattori non è infallibile al 100%, ma aggiunge un significativo livello di sicurezza che può tenere lontani occhi e mani indesiderati dai tuoi dati. E quando combini l’utilizzo di un gestore di password con l’autenticazione a due fattori , hai maggiori possibilità di impedire a chiunque di entrare in possesso di quei preziosi accessi.
All’inizio potrebbe essere fastidioso dover inserire i tuoi codici 2FA quando accedi ai tuoi account online. Tuttavia, i due secondi in più necessari valgono la protezione aggiuntiva fornita dall’autenticazione a due fattori.