Che cos’è la verifica in due passaggi e quando bisognerebbe usarla?

9 Giu 2014

Abbiamo registrato diversi Podcast su questo argomento (pubblicati nel blog di lingua inglese). Ne abbiamo discusso a lungo e li abbiamo menzionati indirettamente in vari articoli. Tuttavia, non abbiamo mai dedicato un articolo intero alla sola spiegazione dell’autenticazione in due passaggi: come funziona e perché bisognerebbe usarla. Ed è proprio quello di cui ci occuperemo oggi.

l'autenticazione in due passaggi

Che cos’è l’autenticazione in due passaggi?

L’autenticazione o verifica in due passaggi è una funzionalità offerta da un grande numero di servizi online e aggiunge un ulteriore livello di sicurezza al processo di login dell’account, richiedendo all’utente di indicare 2 forme di autenticazione. La prima forma è quella normale, in genere la password. Per la seconda forma si può scegliere tra diverse modalità; forse la più popolare è l’SMS o il codice email. La teoria che sta dietro alla verifica in due passaggi è che per loggarvi, dovete sapere qualcosa e possedere qualcosa. Quindi per accedere alla VPN della vostra azienda, dovreste aver bisogno di una password e una chiavetta USB.

La verifica in due passaggi non è la panacea definitiva a tutti i mali (violazioni incluse), ma rappresenta un ottimo strumento per proteggere il proprio account.

La verifica in due passaggi non è la panacea definitiva a tutti i mali (violazioni incluse), ma rappresenta un ottimo strumento per proteggere il proprio account. Penso sia ormai un dato di fatto che le password vengono spesso violate: quelle più deboli sono facili da ricordare ma anche da indovinare; quelle facili sono difficili da indovinare ma anche da ricordare. Per questo motivi, le persone che non sanno creare password efficaci, usano sempre la stessa per diversi account. L’autenticazione a due passaggi mette il bastone tra le ruote agli hacker e li obbliga a dover indovinare anche il secondo fattore, il che significa che dovrebbero rubare il vostro telefono o compromettere il vostro account di posta elettronica per scoprirlo.

Un sistema di autenticazione a due passaggi è la migliore protezione che si possa avere. Il secondo beneficio della doppia verifica è che, specialmente quando si tratta della ricezione di email e codici SMS, è che vi informano se qualcuno sta cercando di indovinare la password. Come abbiamo probabilmente ripetuto 1.000 volte, se ricevete un codice sul vostro telefono o sulla vostra casella di posta relativo alla doppia autenticazione, e non stavate cercando di loggarvi, è probabile che qualcuno stia cercando di indovinare la vostra password e violare l’account. Se vi è capitato qualcosa di simile o vi sta succedendo, forse è ora di cambiare la vostra password.

Per quali account è bene abilitare il secondo passaggio?

La regola di base riguardo al quando e per quale servizio attivare il doppio passaggio è: se il servizio in questione lo offre e voi credete che l’account sia di valore, attivatelo. Anche per Pinterest? Non lo so. Forse. Se io avessi un account Pinterest, probabilmente non lo attiverei perché è un po’ una scocciatura dover seguire i due passaggi per accedere a Pinterest. Tuttavia, è bene attivarlo per l’account di banca online, per la mail principale e la secondaria (specialmente se disponete di un account di recupero degli indirizzi email), per i social network di valore (Facebook e Twitter, forse) e, infine, il vostro AppleID o iCloud, o qualsiasi altro account legato a un dispositivo Android, se ne avete uno. Tutti questi account dovrebbero essere protetti con un secondo passaggio durante la fase di autenticazione.

Date un’occhiata a questo tutorial dove viene spiegato come impostare la verifica in due passaggi per iCloud

Ovviamente potreste considerare l’idea di attivare la doppia autenticazione anche per gli “account di lavoro”. Se gestite siti web, blog o account social media, è bene considerare l’idea di proteggere il vostro account WordPress, GoDaddy, NameCheap o altri. Si raccomanda, inoltre, di attivare la doppia autenticazione anche per quei servizi associati a una carta di credito o di debito, come PayPal, eBay, eTrade, ecc. Infine, di nuovo, si sottolinea che la vostra decisione (attivare oppure no l’autenticazione in due passaggi) si deve basare sull’entità del danno che potrebbe scaturire da un’ipotetica violazione del vostro account.

Questo video mostra come impostare la verifica in due passaggi su Facebook

Ci sono altre forme di “doppia autenticazione”?

Finora abbiamo parlato della verifica in due passaggi nella sua versione “codice inviato al telefono” o “codice inviato all’account email” e nella forma “chiavetta USB usata come accesso VPN”. Esistono anche generatori di codici come RSA SecureID, usati in genere in contesti aziendali. Per il momento la tendenza è stata quella verso l’attivazione della doppia verifica. Tuttavia, ci sono certamente altre misure che si possono adottare.

I codici TAN (transaction authentication numbers) rappresentano un’altra forma di autenticazione in due passaggi, ma ormai un po’ antiquata. Sono abbastanza popolari in Europa, ma io personalmente non ne ho mai usato uno. Se non ho capito male, la banca invia una lista di codici TAN (stampati, su carta) e ogni volta che si vuole realizzare una transazione online, si deve inserire uno per autorizzare la transazione. Anche gli ATM, i comuni sportelli bancari, si possono considerare forme di doppia verifica, dato che bisogna inserire la scheda (possedere qualcosa) e il PIN (sapere qualcosa). E nel futuro, ci saranno sicuramente un sacco di nuovi metodi, come i sistemi di autenticazione basati sulla biometrica. Alcuni sistemi richiedono una password e un’impronta digitale, la scansione dell’iride, l’analisi del battito cardiaco o qualche altra misura basata sulla biometrica.

Ricordiamo inoltre che i dispositivi indossabili sono la moda del momento. Alcuni sistemi richiedono che l’utente indossi un braccialetto speciale o qualche altro accessorio con una specie di radio incorporata con un chip di frequenza. Ho letto di ricerche su tatuaggi elettromagnetici che possono essere utilizzati per autenticarsi. Sia Google che Facebook possiedono generatori di codici per applicazioni mobili che permettono agli utenti di creare la loro password usa e getta al posto degli SMS o dei codici via mail.

Questo video mostra come impostare la verifica in due passaggi su Gmail