Jason Fitzpatrick / How-To Geek L’autenticazione a due fattori (2FA) è una misura di sicurezza che richiede di fornire un fattore identificativo aggiuntivo (come un codice inviato al telefono) oltre al normale nome utente e password.
La tua banca, il tuo provider di posta elettronica e forse anche la tua piattaforma di gioco preferita ti hanno chiesto di configurare l’autenticazione a due fattori. Se non sei chiaro su cosa sia o perché vorresti iniziare a usarlo, continua a leggere per scoprire come l’autenticazione a due fattori può proteggere tutto, dal tuo conto bancario alla tua collezione di giochi.
Per capire cos’è l’autenticazione a due fattori (2FA), diamo prima un’occhiata a cos’è l’autenticazione a un fattore e confrontiamola con i modelli di sicurezza del mondo reale e virtuale.
Quando torni a casa dal lavoro, estrai le chiavi e apri la porta, stai utilizzando la semplice autenticazione a un fattore. Alla porta e al gruppo della serratura non importa se la persona che detiene la chiave sei tu, il tuo vicino o un criminale che ha rubato le tue chiavi.
L’unica cosa che interessa alla serratura è che la chiave si adatti: non hai bisogno di due chiavi, una chiave e un’impronta digitale o qualsiasi altra combinazione di controlli. La singola chiave fisica è l’unica autorizzazione e il suo possessore, legittimo o meno, ottiene pieno accesso.
Lo stesso livello di autenticazione a un fattore si verifica quando accedi a un sito Web o a un servizio che richiede solo nome utente e password. Tu, il tuo coniuge o chiunque altro potete digitare il nome utente e la password per accedere al vostro account proprio come chiunque potrebbe ritirare la chiave di casa e aprire la porta.
Sei in buona forma se nessuno ti ruba mai le chiavi o la password. Mentre il furto delle chiavi è un rischio abbastanza basso, la sicurezza virtuale è più complessa. Violazioni della sicurezza, attacchi sofisticati e altri sfortunati ma fin troppo reali aspetti del lavoro e del gioco in uno spazio virtuale richiedono pratiche di sicurezza migliorate, tra cui password complesse multiple e diverse e, quando disponibile, l’autenticazione a due fattori.
Che cos’è l’autenticazione a due fattori e che aspetto ha per te, l’utente finale? L’autenticazione a due fattori è un sottoinsieme di autenticazione a più fattori (MFA). Tutta l’autenticazione a due fattori è un’autenticazione a più fattori, ma non tutta l’autenticazione a più fattori è a due fattori (poiché un sistema MFA potrebbe richiedere 3, 4 o più fattori di autenticazione aggiuntivi). Colloquialmente, le persone usano ancora il termine 2FA per riferirsi a sistemi a più fattori in generale e poiché rimane l’implementazione più comune dell’autenticazione a più fattori, useremo il termine in questo articolo.
Come minimo l’autenticazione a due fattori richiede due delle tre variabili di autenticazione come:
Qualcosa che conosci (come il PIN sulla tua carta di credito o la password e-mail). Qualcosa che possiedi (la carta bancaria fisica o un token di autenticazione). Qualcosa che sei (dati biometrici come l’impronta digitale o il motivo dell’iride). Se hai mai utilizzato una carta di debito, hai utilizzato una semplice forma di autenticazione a due fattori: non è sufficiente conoscere il PIN o avere fisicamente la carta. Devi possederli entrambi per accedere al tuo conto bancario presso un bancomat.
L’autenticazione a due fattori può assumere varie forme e soddisfare comunque il requisito 2 su 3. Può esserci un token fisico, come i fob RSA SecurID, che genera continuamente codici di sicurezza casuali per te. Altre società saltano il percorso dell’hardware personalizzato e forniscono app per telefoni cellulari (o codici inviati tramite SMS) che forniscono la stessa funzionalità.
Sebbene non comune rispetto alle soluzioni software, potresti anche utilizzare l’autenticazione a due fattori basata sulla biometria (come la protezione di un file crittografato tramite password e impronta digitale).
Inoltre, alcune aziende si sono spostate verso un modello MFA che include le variabili di autenticazione che ci si aspetterebbe da un sistema 2FA, come la necessità di una password più un codice monouso da un’app di autenticazione, con l’aggiunta di un’altra variabile, come la tua posizione fisica o identificatori di rete.
Perché e dove dovrei usare l’autenticazione a due fattori? Siamo fermamente convinti che le persone dovrebbero utilizzare l’autenticazione a due fattori su quasi tutto ciò che usano che offre l’autenticazione a due fattori. È un modo semplice e quasi privo di attriti per aumentare la sicurezza e ridurre il rischio di furto di identità, perdite finanziarie e i problemi generali generali che derivano dalle violazioni della sicurezza.
Fare uno sforzo consapevole da usare password casuali e complesse con un gestore di password insieme all’autenticazione a due fattori è un miglioramento della sicurezza così significativo che vale la pena il piccolo inconveniente di collegare un codice o altrimenti doppia autenticazione della tua identità di tanto in tanto. Hai bisogno di qualcosa di più convincente? Un’analisi Microsoft del 2019 sulle violazioni degli account lo ha rilevato Il 99,9% si è verificato su account senza 2FA abilitato.
Ne hai bisogno per ogni singola cosa? Non necessariamente. L’autenticazione a due fattori per un forum di discussione sulle muscle car che usi casualmente che non contiene informazioni personali e non è collegata alla tua vera e-mail o informazioni finanziarie è eccessiva.
Un secondo livello di autenticazione per la tua carta di credito o l’account e-mail principale, tuttavia, è un eccellente potenziamento della sicurezza. Il trauma personale e finanziario che deriverebbe da un ladro di identità o altra entità dannosa che ha accesso a tali cose supera di gran lunga il fastidio minore di inserire un po’ di informazioni in più.
Se la tua e-mail è compromessa, ti apre la possibilità che altri servizi vengano compromessi poiché l’e-mail funge da sorta di chiave principale per l’accesso alla reimpostazione della password e ad altre richieste. (Ecco perché consigliamo alle persone di smettere di usare la loro email principale per accedere a tutto.)
Se la tua banca offre l’autenticazione a due fattori, approfittane. Non dimenticare altri strumenti finanziari che usi come PayPal. Se un servizio può essere utilizzato per inviare o ricevere denaro o accedere ai tuoi registri finanziari, dovresti utilizzare 2FA. Stessa cosa per qualsiasi servizio che ospita elementi personali come backup di file, backup di foto e così via.
Anche per cose come piattaforme di videogiochi, ne vale la pena. Non solo i giocatori trascorrono centinaia di ore a costruire i loro personaggi e spesso spendono soldi veri per acquistare beni di gioco, perdere tutto quel lavoro e equipaggiamento è una proposta terribile.
Sebbene non tutti i servizi offrano l’autenticazione a due fattori, il numero di aziende che offrono un qualche tipo di autenticazione a due fattori è aumentato notevolmente nel corso degli anni. Quando abbiamo iniziato a scrivere di 2FA, l’elenco delle organizzazioni e dei fornitori che lo offrivano era abbastanza breve da poterli snocciolare in un paragrafo.
Ora 2FA è relativamente comune e se dai un’occhiata ai documenti di supporto o anche solo al tuo profilo e alla pagina delle impostazioni su un determinato servizio, è probabile che tu trovi una sorta di opzione per l’autenticazione a due fattori.
Puoi anche ridurre il tempo dedicato alla ricerca utilizzando alcune delle pratiche directory 2FA disponibili come il Elenco siti web 2FA e il Elenco 2FA. Entrambi i siti elencano servizi popolari che supportano 2FA, offrono informazioni aggiuntive come il tipo di 2FA che supportano e collegamenti a documenti di aiuto pertinenti per ciascun rispettivo servizio.
Come funzionano i tipi comuni di autenticazione a due fattori Sebbene non possiamo mostrarti esattamente come funzionerà l’autenticazione a due fattori su ogni servizio per cui la abiliti, possiamo parlarne i comuni metodi 2FA dovresti aspettarti di incontrare e come funzionano.
E-mail Se hai mai effettuato l’accesso a un servizio e ti è stato chiesto di controllare la tua e-mail per un codice di verifica, ti sei imbattuto in una forma molto semplice di autenticazione a due fattori.
Abbiamo accennato in precedenza che è essenziale proteggere la tua posta elettronica, ed è per questo. Molti servizi utilizzano la verifica di base email-tu-un-codice. Se la tua email è compromessa, lo è anche ogni servizio per cui usi quell’email.
È meglio di niente, ma se stai utilizzando un servizio che offre qualcos’altro in questo elenco, dovresti abilitarlo.
SMS e chiamate vocali Analogamente all’invio tramite e-mail di un codice monouso, SMS e 2FA vocale inviano il codice al tuo telefono tramite messaggio di testo o chiamandoti e leggendo il codice al telefono.
È un sistema tutt’altro che perfetto come è vulnerabile ad attacchi come le truffe sulla portabilità del telefono, ma è meglio che non avere affatto abilitato 2FA. Se SMS è l’unica opzione 2FA disponibile, dovresti usarlo poiché, imperfetto o meno, rende molto più difficile per qualcuno accedere ai tuoi account.
App di autenticazione dedicate Un significativo passo avanti rispetto all’utilizzo di e-mail, SMS o chiamate vocali, le app di autenticazione dedicate si concentrano esclusivamente sulla generazione di codici monouso.
Google Authenticator è stata una delle prime app di autenticazione in circolazione e rimane piuttosto popolare (e il più grande reclamo degli utenti, la mancanza di sincronizzazione tra dispositivi, è stato risolto come parte di una massiccia revisione dell’app nell’aprile del 2023.) Authy E Duo sono altre due alternative degne di nota e popolari.
Sebbene non sia un’applicazione 2FA autonoma, la popolare app di gestione delle password 1Password ha un autenticatore integrato per aiutarti a gestire i tuoi token 2FA. 1Password ha anche un’ottima funzionalità relativa a 2FA: ti avviserà se un servizio che hai memorizzato nel tuo deposito password supporta 2FA e ti aiuterà a configurarlo proprio lì. Se stai cercando uno sportello unico per una buona gestione delle password e una facile implementazione 2FA, è difficile battere 1Password.
Infine, dovrebbe essere ovvio che soltanto utilizzare app 2FA di aziende affidabili. Non solo stai compromettendo la sicurezza del tuo account utilizzando un’app non sicura, ma nel 2022 si è verificato persino un caso di app di autenticazione dannosa che installa malware e ruba informazioni bancarie.
Notifiche dell’app mobile Alcuni servizi utilizzeranno la loro app mobile sul telefono come seconda forma di verifica dell’identità. Google “Richiede” sono un esempio di questo tipo di sistema 2FA, ma non sono certo l’unica azienda che li utilizza.
Puoi accedere al servizio sul tuo computer di casa o sul tuo laptop lontano dalla tua rete domestica e riceverai un messaggio per aprire l’app dell’azienda sul tuo telefono e confermare che sei tu ad accedere al tuo account.
È ancora 2FA, è solo impostato come consegna di un singolo token per un singolo fornitore di servizi invece di un accordo di portachiavi con più token in un’app dedicata come Google Authenticator o Authy.
Chiavi 2FA basate su hardware Chiavi 2FA basate su hardware sono esattamente come suonano: oggetti fisici che usi per autenticare la tua identità. La maggior parte delle chiavi 2FA fisiche sul mercato sono una combinazione di dispositivi USB/NFC, quindi puoi collegare la chiave al computer o tenerla vicino a uno smartphone per attivarla. Esistono alcuni standard, ma la maggior parte delle chiavi 2FA basate su hardware utilizza il formato FIDO Universal 2nd Factor Authentication (U2F) standard.
Proprio come si inserisce un codice monouso da un’app di autenticazione per confermare la propria identità, è possibile utilizzare la chiave fisica per fare lo stesso. Sebbene sia innegabilmente un modo molto interessante e sicuro per fare le cose, la maggior parte delle persone non segue il percorso della chiave hardware e utilizza il proprio telefono e l’app di autenticazione come metodo 2FA più conveniente.
Comunque tu sia in grado di utilizzare 2FA, è il momento perfetto per abilitare 2FA su tutti i servizi che utilizzi che lo supportano. Mentre l’autenticazione a due fattori non lo è invulnerabile agli attacchi (un sofisticato attacco man-in-the-middle o qualcuno che ruba il tuo token di autenticazione secondario e picchiarti con una pipa potrebbe romperlo), è radicalmente più sicuro che fare affidamento su una normale password e il semplice fatto di avere un sistema a due fattori abilitato ti rende un obiettivo molto meno convincente.
I migliori gestori di password del 2023
Miglior gestore di password in assoluto
1Password
Miglior gestore di password gratuito
Bitwarden
Miglior combinazione di gestore di password e VPN
Dashlan
Miglior gestore di password per le aziende
NordPass
Miglior gestore di password offline
KeePassXC