Tipi di autenticazione a due fattori: pro e contro

Nell’ultimo post abbiamo visto che cos’è l’autenticazione a due fattori e perché è consigliabile utilizzarla. In breve, si tratta di un meccanismo di convalida dell’accesso basato su due metodi di autenticazione essenzialmente diversi.

L’autenticazione a due fattori assicura una protezione più affidabile degli account degli utenti. Preso singolarmente, infatti, ogni metodo di autenticazione è vulnerabile. Se però ne utilizzi due (o più) in combinazione, sarà molto più difficile che qualcuno possa prendere il controllo del tuo account.

In questo articolo vedremo quali sono le opzioni di autenticazione a più fattori disponibili, esaminandone i pro e i contro per comprendere quali sono le più sicure per proteggere gli account.

Codici monouso inviati tramite SMS, e-mail o chiamata vocale

Uno dei meccanismi di autenticazione a due fattori più diffusi per la convalida dell’accesso è l’utilizzo di codici monouso. Questi vengono in genere inviati tramite SMS al numero di telefono specificato durante la registrazione. Anche la posta elettronica può essere utilizzata per questo scopo, ma è meno comune. I principali servizi di solito offrono anche la possibilità di ricevere una chiamata vocale al numero di telefono specificato al momento della registrazione.

Qualunque sia il canale di distribuzione utilizzato, l’idea è la stessa: verificare la possibilità di accedere a un altro account o a un numero di telefono specificato al momento della registrazione al servizio. Pertanto, se qualcuno si impossessa della tua password senza avere accesso al telefono, questo tipo di protezione funzionerà perfettamente.

L’opzione di autenticazione a due fattori più comune: codice monouso inviato tramite SMS

Questo meccanismo di autenticazione a due fattori presenta tuttavia alcuni aspetti negativi. Se viene utilizzata l’e-mail per confermare l’accesso e la password per l’accesso è la stessa dell’account che si sta tentando di proteggere, si otterrà una protezione aggiuntiva molto limitata. Un utente malintenzionato che conosce la password dell’account proverà sicuramente anche quella password per accedere all’e-mail, ottenendo così il codice di convalida monouso.

La convalida tramite numero di telefono (con l’invio di un messaggio SMS o con una chiamata vocale) presenta invece un problema diverso: è facile perdere l’accesso. A volte gli utenti dimenticano semplicemente di ricaricare il proprio credito telefonico, perdono il telefono o cambiano numero.

Inoltre, non è raro che i criminali cerchino di convincere gli operatori mobili a fornire loro una scheda SIM con il numero di telefono della vittima, ottenendo così l’accesso ai codici di convalida. Infine, i messaggi SMS possono essere intercettati: casi simili sono già stati segnalati.

Riepilogo: questa opzione di autenticazione a due fattori offre una protezione adeguata, ma per proteggere gli account più importanti, in particolare quelli finanziari, è meglio utilizzare un metodo più affidabile.

Password come secondo fattore

A volte la password non è il primo ma il secondo fattore. Questo metodo viene spesso impiegato dagli strumenti di messaggistica: per impostazione predefinita, per accedere è sufficiente inserire il codice monouso ricevuto tramite SMS. La password è generalmente facoltativa. Facoltativa ma necessaria, a mio parere, perché assicura la protezione da molti potenziali problemi in una sola volta.

Soprattutto, impedirà la perdita accidentale di accesso al numero di telefono utilizzato per la registrazione a servizi come WhatsApp o Telegram. Supponiamo di aver cambiato il numero di telefono principale, di aver messo la vecchia scheda SIM in un cassetto e di non averla ricaricata per molto tempo. Trascorso un certo periodo di tempo, l’operatore rivenderà il numero associato a quella scheda SIM, consentendo così al nuovo proprietario di accedere allo strumento di messaggistica a tuo nome, a meno che non sia protetto anche con una password, ovviamente.

La password quasi sicuramente fornirà al tuo account di messaggistica un livello aggiuntivo di protezione dagli hacker che, in un modo o nell’altro, hanno avuto accesso al tuo numero di telefono.

Elenco di codici monouso pre-generati

Un’altra opzione disponibile è un elenco di codici monouso pre-generati. Le banche a volte rilasciano tali elenchi ai propri clienti per confermare le transazioni, mentre alcuni servizi Internet (come Google) consentono di utilizzarli per il recupero dell’account.

Questo può essere considerato un meccanismo affidabile: tali codici vengono trasmessi all’utente molto raramente, quindi le possibilità di intercettazione sono minime. I codici sono casuali, nel senso che sono univoci, quindi indovinarli è quasi impossibile.

Ma c’è il problema dell’archiviazione: se gli autori degli attacchi riescono a rubare l’elenco di codici pre-generati, sferrare un attacco ai danni dell’account o rubare denaro sarà estremamente facile.

Elenco di codici monouso pre-generati per la verifica delle transazioni bancarie

È pertanto consigliabile conservare i codici di conferma monouso in una cassetta di sicurezza o in una posizione di archiviazione adeguatamente protetta. Ad esempio, Kaspersky Password Manager offre la possibilità di utilizzare note criptate. Se si salva l’elenco dei codici monouso in queste note, tali codici saranno protetti in modo sicuro, a condizione, ovviamente, di impostare una master password valida e univoca per Kaspersky Password Manager.

Tuttavia, l’inconveniente principale di questo metodo di autenticazione è che se le verifiche da eseguire sono frequenti, tali codici pre-generati si esauriranno rapidamente. Ciò significa che dovrai generarne e salvarne di nuovi. In caso di più account, l’utilizzo di diversi elenchi potrebbe generare confusione. Pertanto, i codici pre-generati come metodo di autenticazione principale sono stati sostituiti da codici generati su richiesta, inviati solo all’occorrenza.

Codici monouso generati da un’app di autenticazione

La generazione istantanea di codici monouso viene eseguita tramite appositi strumenti di autenticazione. A volte si tratta di dispositivi indipendenti con un piccolo schermo che visualizza il codice da utilizzare: alcune banche forniscono tali strumenti di autenticazione ai propri clienti.

Ma al giorno d’oggi, rispetto ai dispositivi indipendenti, sono più diffuse speciali app di autenticazione eseguite su smartphone. Sono disponibili diversi articoli su questo argomento:

• Le app di autenticazione e il loro funzionamento
• Le migliori app di autenticazione per Android, iOS, Windows e macOS
• Autenticazione tramite codice monouso: pro e contro
• App di autenticazione e telefono smarrito: come correre ai ripari

Quindi, se cerchi informazioni sul funzionamento di questo metodo di autenticazione, su come scegliere un’app di autenticazione e sugli aspetti da tenere presenti quando utilizzi questo metodo, puoi visitare i collegamenti precedenti. In questo articolo ci limiteremo a sottolineare che le app di autenticazione offrono un compromesso ottimale tra praticità e sicurezza, cosa che le rende sempre più popolari.

Google Authenticator: la più nota ma sicuramente non l’unica app di autenticazione disponibile

Biometria: impronta digitale, volto o voce

Fino a non molto tempo fa, per la maggior parte delle persone, l’autenticazione biometrica era qualcosa di fantascientifico. Tuttavia, le cose sono cambiate piuttosto rapidamente: la maggior parte degli smartphone ora offre la possibilità di autenticarsi tramite impronta digitale o riconoscimento facciale.

Ma alcuni metodi biometrici possono sembrare insoliti: autenticazione basata sulla voce, sull’iride, sull’andatura e sulle abitudini di digitazione. Per quanto riguarda i più originali, potremmo ricordare la ricerca sull’autenticazione basata sull’odore (anche se non funziona molto bene)!

L’autenticazione biometrica presenta alcuni gravi inconvenienti. Innanzitutto, tutte le caratteristiche su cui si basa sono proprietà permanenti dell’utente. È possibile modificare una password compromessa, anche più volte per motivi di sicurezza. Ma un’impronta digitale registrata può essere modificata solo un numero limitato di volte: i tentativi possono essere letteralmente contati sulle dita di due mani.

La seconda questione importante consiste nel fatto che i dati biometrici sono estremamente sensibili, sia perché inalterabili, sia perché consentono non solo di autenticare un utente, ma anche di identificare una persona. Pertanto, la raccolta e il trasferimento di questi dati ai servizi digitali devono essere trattati con estrema cautela.

Questo è il motivo per cui i dati biometrici vengono normalmente utilizzati per l’autenticazione locale: per evitare di trasmetterli ad altri sistemi, sono archiviati ed elaborati nel dispositivo. Per l’autenticazione biometrica remota, il servizio digitale dovrebbe ritenere completamente attendibili le funzionalità sviluppate dal fornitore del dispositivo, cosa che in genere i servizi preferiscono evitare. Il risultato finale è questo: solo i dispositivi Apple offrono un meccanismo di autenticazione biometrica remota, perché l’azienda ha il pieno controllo del suo ecosistema, dallo sviluppo del software alla fabbricazione del dispositivo.

Accesso con l’impronta digitale: una cosa comune di questi tempi

Tuttavia, l’autenticazione biometrica ha un importante vantaggio che ne compensa gli svantaggi. Se implementata correttamente, rende la vita degli utenti molto più semplice. Non è più necessario digitare: basta premere il dito sul sensore o mostrare il viso alla fotocamera. Ed è anche abbastanza affidabile, sempre se implementata correttamente.

Posizione

Un altro tipo di autenticazione utente è la posizione. Non è necessario attivare questo metodo: è attivo per impostazione predefinita. Ecco perché di solito passa inosservato e la persona viene avvisata solo se ha esito negativo: ovvero, se un tentativo di accesso proviene da una posizione non prevista dal servizio. In questo caso, il servizio potrebbe richiedere l’utilizzo di un metodo di verifica aggiuntivo.

Naturalmente, la posizione non è un fattore di autenticazione molto affidabile. In primo luogo, non è univoco: molte altre persone possono trovarsi nello stesso posto in un certo momento. In secondo luogo, è abbastanza facile da manipolare, soprattutto quando si parla di posizione basata su IP, non della vera e propria geolocalizzazione GPS. Tuttavia, la posizione può essere utilizzata come uno dei fattori di autenticazione e molti servizi lo fanno.

Chiavi hardware FIDO U2F (dette anche YubiKey)

Le opzioni di autenticazione sopra descritte hanno uno svantaggio importante: consentono di autenticare l’utente, ma non il servizio. Questo apre la strada a potenziali attacchi MitM (Man-in-the-Middle).

Gli autori di questi attacchi possono creare una pagina falsa imitando il meccanismo di accesso del servizio effettivo. Una volta che l’utente ha inviato il proprio nome utente e la password, i criminali li utilizzano immediatamente per accedere al sito Web reale. Il codice di verifica sarà l’altro elemento che l’utente dovrà fornire e in pochissimo tempo verrà utilizzato per prendere il controllo dell’account della vittima.

Per far fronte a questo tipo di minacce, sono state create le chiavi FIDO U2F, anche note con il nome del loro modello più popolare: YubiKey. Il principale vantaggio di questo metodo consiste nel fatto che, durante la registrazione, il servizio e la chiave U2F memorizzano alcune informazioni univoche per ogni servizio e per ogni utente. Successivamente, durante l’autenticazione, il servizio deve inviare una richiesta specifica alla chiave, che risponderà solo se la richiesta è corretta.

Quindi, entrambi i lati della comunicazione sono in grado di determinare se questa è legittima o meno. Inoltre, questo meccanismo di autenticazione si basa sul criptaggio a chiave aperta, quindi l’intero processo risulta efficacemente protetto da falsificazioni, intercettazioni e minacce simili.

Una coppia di chiavi FIDO U2F: Yubico YubiKey (a sinistra) e Google Titan (a destra)

Un altro vantaggio: anche se la tecnologia è piuttosto sofisticata e utilizza la un sistema di criptaggio hardcore, dal punto di vista dell’utente sembra tutto molto semplice. È sufficiente collegare la chiave a una porta USB (o avvicinarla allo smartphone, visto che queste chiavi spesso supportano la tecnologia NFC) e toccare un sensore sulla chiave con un dito per completare l’autenticazione.

L’utilizzo delle chiavi hardware U2F è il metodo di autenticazione più affidabile oggi disponibile e rappresenta un’opzione consigliata per gli account importanti. È quello che fanno in Google: tutti i dipendenti dell’azienda utilizzano queste chiavi per i propri account aziendali da oltre cinque anni.

Passkey FIDO: il futuro presente dell’autenticazione senza password

Non è facile, ma è comunque possibile fare in modo che tutti i dipendenti di un’organizzazione utilizzino chiavi hardware per l’autenticazione. Tuttavia, non si tratta di un metodo adatto per milioni di utenti Internet. Le persone sono spesso infastidite dalla semplice idea dell’autenticazione a due fattori, per non parlare del fatto di dover pagare per l’utilizzo di speciali dispositivi.

Ecco perché la stessa FIDO Alliance, l’ideatrice delle chiavi U2F, ha sviluppato un nuovo standard di autenticazione che utilizza le “passkey” al posto delle password. In poche parole, la tecnologia è più o meno la stessa delle chiavi U2F, tranne per il fatto che non sono necessari speciali dispositivi per archiviare i dati di autenticazione.

È possibile archiviare le chiavi di accesso praticamente ovunque: su uno smartphone, in un computer, nel profilo utente del browser o, alla vecchia maniera, su una chiave USB. È possibile scegliere di sincronizzarle tramite il cloud o di non sincronizzarle affatto, se si opta per la modalità con codice univoco.

Questo lungo elenco di opzioni di archiviazione rende le passkey un po’ meno sicure, ovviamente. Il livello di protezione dipende dalla effettiva combinazione di attrezzature e servizi utilizzata.

In compenso, gli utenti ottengono un prezioso vantaggio: le passkey non si aggiungono alle password degli account, ma le sostituiscono. Inoltre, tale autenticazione è comunque a più fattori: oltre a possedere un dispositivo utilizzato per archiviare le passkey, è necessario convalidare l’accesso tramite biometria (se il dispositivo lo supporta) o immettendo il PIN di sblocco del dispositivo. Come si può vedere, in alcuni casi non è possibile rinunciare completamente alle password, ma almeno le passkey ne riducono notevolmente il numero.

Il problema principale di questa iniziativa è che finora è una sorta di mosaico. Piattaforme e servizi diversi utilizzano approcci molto diversi all’archiviazione dei dati, all’autenticazione degli utenti e alla sicurezza nel suo insieme. Invece di un solo metodo, ne vengono utilizzati diversi, che variano notevolmente in termini di affidabilità.

Di conseguenza, sembra ancora prematuro passare completamente alle passkey. Ma si possono già sperimentare: qualche tempo fa Google ha annunciato il pieno supporto delle passkey da parte degli account Google, quindi chiunque sia interessato può vedere come funzionano.

Quali sono i migliori metodi di autenticazione a due fattori e altri aspetti da ricordare

Per concludere, i punti chiave:

• Nel 2023 l’autenticazione a due fattori non sarà più un lusso, ma una necessità vitale. Utilizzala ogni volta che puoi.
• L’impiego di qualsiasi metodo di autenticazione a due fattori è comunque preferibile rispetto al fatto di non utilizzare questo sistema.
• Le app di autenticazione sono ottimali per l’autenticazione bidirezionale.
• Una chiave hardware FIDO U2F (Yubico YubiKey, Google Titan o altro) è un’opzione ancora migliore. Soprattutto per gli account molto importanti.
• È già possibile provare le passkey, ma sembra un po’ presto per adottare completamente questa tecnologia.
• Pertanto, è ancora fondamentale utilizzare le password, prestando la massima attenzione: scegli password complesse, non riutilizzarle per più servizi e tienile al sicuro con uno strumento di gestione delle password.
• Inoltre, naturalmente, non dimenticare che la maggior parte dei metodi di autenticazione a due fattori (diversi da U2F e passkey) è vulnerabile al phishing. Scegli una soluzione affidabile che neutralizzi automaticamente questa minaccia, ad esempio Kaspersky Password Manager