Tutti i metodi che abbiamo appena menzionato per appropriarsi delle password via SMS (anche i pi\u00f9 complicati e tecnologicamente avanzati come sfruttare la falla nel protocollo SS7), sono gi\u00e0 stati messi in pratica con successo. Il resto per i cybercriminali \u00e8 un gioco da ragazzi. Ci\u00f2 vuol dire che non stiamo parlando di ipotesi ma di minacce concrete.<\/p>\n
In generale, le password inviate via SMS non sono poi cos\u00ec sicure e, in certi casi, non lo sono affatto. Per questo, la soluzione pi\u00f9 logica \u00e8 quella di cercare alternative all\u2019autenticazione a due fattori pi\u00f9 popolare, e in questo post ve ne proporremo alcune.<\/p>\n
Codici monouso su file o su carta<\/h2>\n
Il modo pi\u00f9 semplice per sostituire le password di un solo uso inviate via SMS \u00e8 usare sempre password usa e getta ma preparate in anticipo. Non \u00e8 male come opzione, soprattutto per servizi a cui ci si collega di frequente. Pu\u00f2 funzionare anche sul caro, vecchio Facebook, soprattutto come piano di riserva.<\/p>\n
L\u2019idea \u00e8 piuttosto semplice: su richiesta il servizio genera e mostra una decina di codici usa e getta che possono essere successivamente utilizzati per il login. Questi codici possono essere stampati o scritti a mano e conservati in un luogo sicuro; oppure, ancora meglio, possono essere salvati in una nota cifrata custodita da un password manager<\/a>.<\/p>\n Non importa tanto se i codici vengono custoditi in formato digitale o fisico, l\u2019importante \u00e8: 1) non perdere i codici e 2) non farseli rubare.<\/p>\n I codici usa e getta gi\u00e0 prestabiliti, per\u00f2, prima o poi finiscono e potreste rimanerne senza nel momento pi\u00f9 inopportuno. Meno male che c\u2019\u00e8 un\u2019altra soluzione: i codici di un solo uso possono essere generati sul momento utilizzando una piccola e di solito semplice applicazione di autenticazione.<\/p>\n Queste app sono molto facili da usare. Ecco come fare:<\/p>\n I codici vengono creati in base a una chiave (nota solo a voi e al server) e all\u2019orario, arrotondato ai 30 secondi. Entrambe le componenti sono le stesse per voi e il servizio, e i codici vengono generati in modo sincronizzato. Si utilizza l\u2019algoritmo OATH TOTP (Time-based One-Time Password), sicuramente il pi\u00f9 popolare.<\/p>\n In realt\u00e0, esiste un\u2019alternativa, l\u2019algoritmo OATH HOTP (HMAC-based One-Time Password) che, invece dell\u2019orario, utilizza un contatore che aumenta di un\u2019unit\u00e0 ogniqualvolta si crea un nuovo codice. Tuttavia, non viene utilizzato molto nella vita reale perch\u00e9 questo sistema complica la generazione in sincrono dei codici dell\u2019app e del servizio. In sostanza, ci sarebbe un rischio concreto che il contatore vada leggermente fuori fase e la password usa e getta non funzioni.<\/p>\n Di fatto, quindi, lo standard al momento \u00e8 l\u2019algoritmo OATH TOTP (anche se ufficialmente non dovrebbe essere considerato uno standard, come ribadiscono i suoi creatori<\/a>).<\/p>\n La maggioranza delle app per l\u2019autenticazione in due passaggi utilizzano lo stesso algoritmo, per cui pu\u00f2 essere utilizzata qualsiasi app sui servizi che supportano questo tipo di autenticazione, la scelta \u00e8 vostra.<\/p>\n Tuttavia, c\u2019\u00e8 sempre l\u2019eccezione che conferma la regola. Per ragioni che solo essi conoscono, alcuni servizi preferiscono creare le proprie app per la 2FA e che funzionano solo per quel servizio.<\/p>\n Si tratta di una pratica piuttosto comune nel mondo dei videogiochi: ad esempio, Blizzard Authenticator, Steam Guard con Steam Mobile integrato, Wargaming Auth e altre app sono incompatibili con servizi e app di terze parti. In sostanza, queste app create per i propri clienti possono essere utilizzate solo sulle piattaforme di gaming corrispondenti.<\/p>\n Questa insolita via \u00e8 stata intrapresa anche da Adobe, con il suo Adobe Authenticator che funziona solo con gli account AdobeID, anche se comunque si possono usare anche altre app di autenticazione per cui non capiamo molto il senso di tutto ci\u00f2.<\/p>\n In ogni caso, la maggior parte delle compagnie IT non obbligano gli utenti a scegliere un\u2019app in particolare per la 2FA. E anche se l\u2019azienda all\u2019improvviso decide di creare la propria app, di solito non protegge solo gli account della compagnia ma anche quelli di altri servizi.<\/p>\n Insomma, potete scegliere l\u2019app di autenticazione che preferite in base alle funzionalit\u00e0 aggiuntive che vi propone, dovrebbe funzionare con la maggior parte dei servizi che supportano le app per la 2FA.<\/p>\n Se non sapete quale app utilizzare, c\u2019\u00e8 l\u2019imbarazzo della scelta. Basta scrivere \u201capp di autenticazione\u201d o \u201cauthenticator\u201d su Google Play o App Store e vi appariranno decine di opzioni. Tuttavia, vi sconsigliamo di installare la prima app che cattura la vostra attenzione, perch\u00e9 potrebbe non essere la pi\u00f9 sicura. Ricordate che a questa app affiderete le chiavi dei vostri account (ovviamente non saranno rivelate le vostre password ma l\u2019autenticazione a due fattori serve proprio perch\u00e9 spesso ci sono fughe di dati, tra cui le password). In generale, meglio avvalersi di un\u2019app creata da uno sviluppatore importante e di fiducia.<\/p>\n Sebbene le funzionalit\u00e0 di base di tutte queste app siano pi\u00f9 o meno le stesse (ovvero creare codici usa e getta mediante un unico algoritmo uguale per tutti), alcune app offrono opzioni extra o interfacce pi\u00f9 attraenti di altre. Facciamo una carrellata delle funzionalit\u00e0 aggiuntive pi\u00f9 interessanti.<\/p>\n \u00a0<\/p>\n Piattaforme:<\/strong> Android<\/a>, iOS<\/a><\/p>\n Per molte riviste tech, Google Authenticator \u00e8 l\u2019app di autenticazione pi\u00f9 facile da usare, praticamente non ci sono impostazioni da configurare. Solo basta aggiungere un nuovo token (ovvero il generatore del codice per ogni account) oppure cancellare uno gi\u00e0 esistente. E per copiare un codice solo bisogna premerci sopra con il dito. Ecco fatto!<\/p>\n Tuttavia, tutta questa semplicit\u00e0 pu\u00f2 avere i suoi lati negativi. Se non vi piace l\u2019interfaccia o avete bisogno di altre funzionalit\u00e0, meglio scaricare un\u2019altra app di autenticazione.<\/p>\n Punto a favore:<\/strong> molto facile da usare<\/p>\n \u00a0<\/p>\n Piattaforme: <\/strong>Android<\/a>, iOS<\/a><\/p>\n Anche Duo Mobile \u00e8 un\u2019app davvero user-friendly, minimalista e senza impostazioni aggiuntive. Ha un ulteriore vantaggio rispetto a Google Authenticator: di default Duo Mobile nasconde i codici e, per visualizzarli, l\u2019utente deve fare tap sul token di cui ha bisogno. Se preferite evitare che i codici dei vostri account siano sotto gli occhi di tutti ogniqualvolta aprite la app, allora Duo Mobile \u00e8 ci\u00f2 che fa per voi.<\/p>\n Punto a favore:<\/strong> codici nascosti di default<\/p>\n \u00a0<\/p>\n Piattaforme:<\/strong> Android<\/a>, iOS<\/a><\/p>\n Anche Microsoft ha optato per un approccio minimalista con la sua app di autenticazione, anche se comunque offre maggiori funzionalit\u00e0 rispetto a Google Authenticator. E anche se i codici sono visibili di default, ogni token pu\u00f2 essere nascosto separatamente.<\/p>\n Inoltre, Microsoft Authenticator fa s\u00ec che collegarsi agli account Microsoft sia pi\u00f9 semplice. Dopo aver digitato la password, bisogna solo fare tap sulla app per confermare l\u2019accesso, non \u00e8 necessario inserire il codice di un solo uso.<\/p>\n Punto a favore: <\/strong>si pu\u00f2 configurare per nascondere i codici<\/p>\n Punto a favore extra: <\/strong>collegamento rapido agli account Microsoft<\/p>\n \u00a0<\/p>\n Piattaforme:<\/strong> Android<\/a>, iOS<\/a><\/p>\n Dovreste scegliere l\u2019app di Red Hat per quattro motivi. Innanzitutto, si tratta di un software open source e poi \u00e8 l\u2019app pi\u00f9 leggera del nostro elenco (la versione iOS pesa solo 750 KB \u2013 Google Authenticator ha bisogno di quasi 14MB e Authy di cui parleremo in seguito, occupa ben 44 MB).<\/p>\n In terzo luogo, l\u2019app nasconde i codici di default, che viene visualizzato solo quando si fa tap sul token. Infine (dettaglio pi\u00f9 importante), FreeOTP consente di configurare manualmente i token, conferendo maggiore flessibilit\u00e0. Ovviamente, si pu\u00f2 sempre optare per il metodo di creazione tradizionale, ovvero mediante la scansione di un codice QR.<\/p>\n Punti a favore: <\/strong><\/p>\n codici nascosti di default;<\/p>\n pesa solo 750 KB;<\/p>\n \u00e8 open source;<\/p>\n disponibilit\u00e0 di varie impostazioni per la creazione manuale dei token.<\/p>\n \u00a0<\/p>\n Piattaforme:<\/strong> Android<\/a>, iOS<\/a>, Windows<\/a>, macOS<\/a>, Chrome<\/a><\/p>\n Authy \u00e8 l\u2019app 2FA pi\u00f9 alla moda e che ha il principale vantaggio che tutti i token sono custoditi su cloud, ed \u00e8 quindi possibile accedere ai token da qualsiasi dispositivo. Allo stesso tempo, rende pi\u00f9 agevole la migrazione su nuovi dispositivi. Non c\u2019\u00e8 bisogno di riattivare l\u2019autenticazione a due fattori su ogni servizio, si possono utilizzare i token esistenti.<\/p>\n I token su cloud vengono cifrati con una chiave creata mediante una password indicata dall\u2019utente; ci\u00f2 vuol dire che i dati sono custoditi in modo sicuro e non si possono rubare facilmente. Si pu\u00f2 quindi impostare un PIN di accesso per la app o la si pu\u00f2 proteggere con l\u2019impronta digitale, se lo smartphone lo supporta.<\/p>\n Il punto negativo principale di Authy \u00e8 che l\u2019account va collegato a un numero di telefono, altrimenti la app non funziona.<\/p>\n Punti a favore: <\/strong><\/p>\n token custoditi su cloud, da usare su tutti i dispositivi;<\/p>\n facile migrazione su altri dispositivi;<\/p>\n accesso alla app protetto da PIN o impronta digitale;<\/p>\n sullo schermo viene visualizzato solo il codice dell\u2019ultimo token utilizzato;<\/p>\n a differenza di altre app, non funziona solo su Android e iOS, ma anche su Windows, macOS e Chrome.<\/p>\n Punto a sfavore: <\/strong>l\u2019app non funziona se l\u2019account Authy non \u00e8 collegato a un numero di telefono.<\/p>\n \u00a0<\/p>\n Piattaforme:<\/strong> Android<\/a>, iOS<\/a><\/p>\n L\u2019idea alla base di Yandex Key potrebbe far s\u00ec che sia la migliore app per l\u2019autenticazione a due fattori. Da un lato, non richiede la registrazione immediata, si pu\u00f2 utilizzare con la stessa facilit\u00e0 di Google Authenticator. Dall\u2019altro, offre diverse funzionalit\u00e0 aggiuntive per chi non ha paura di usufruire di altre opzioni.<\/p>\n Innanzitutto, YandexKey pu\u00f2 essere bloccata con codice PIN o impronta digitale. In secondo luogo, si pu\u00f2 creare una copia di backup, protetta da password, da salvare sul cloud di Yandex (per questa opzione s\u00ec che \u00e8 necessario indicare un numero di telefono) e da ripristinare sul dispositivo in uso. Allo stesso modo, si possono trasferire i token su un nuovo dispositivo in caso si abbia bisogno di effettuare una migrazione.<\/p>\n YandexKey consente di avere la semplicit\u00e0 di Google Authenticator ma anche le funzionalit\u00e0 aggiuntive di Authy, dipende da ci\u00f2 che si desidera. L\u2019unico aspetto negativo della app \u00e8 che l\u2019interfaccia non \u00e8 proprio semplice da usare quando si ha un buon numero di token.<\/p>\n Punti a favore: <\/strong><\/p>\n app minimalista alla quale si possono aggiungere funzionalit\u00e0 grazie alle impostazioni;<\/p>\n possibilit\u00e0 di creare copie di backup dei token su cloud, per il loro uso su vari dispositivi e per migrazioni;<\/p>\n accesso alla app protetto da PIN o impronta digitale;<\/p>\n sullo schermo viene visualizzato solo il codice dell\u2019ultimo token utilizzato;<\/p>\n sostituisce in modo permanente la password dell\u2019account Yandex.<\/p>\n Punto a sfavore: <\/strong>Quando ci sono vari token, non \u00e8 cos\u00ec facile trovare quello di cui si ha bisogno.<\/p>\n Se un\u2019app che genera codici usa e getta vi sembra una maniera troppo intangibile per proteggere i vostri account e siete alla ricerca di qualcosa di pi\u00f9 solido e affidabile che blocchi il vostro account con una chiave che vada a finire letteralmente nelle vostre tasche, allora la scelta migliore sono gli hardware token che si basano sullo standard U2F (Universal 2nd Factor) di FIDO Alliance.<\/p>\n I token hardware U2F sono i preferiti degli specialisti in sicurezza innanzitutto perch\u00e9, dal punto di vista dell\u2019utente, funzionano con grande semplicit\u00e0. Per iniziare, bisogna solo collegare il token U2F al dispositivo e registrarlo sul servizio compatibile. Il tutto si fa in un paio di click.<\/p>\n Dopo di ci\u00f2, per confermare l\u2019accesso al servizio, bisogna connettere il token U2F al dispositivo dal quale vi state collegando e fare tap sul tasto del token (alcuni dispositivi richiedono un codice PIN o la scansione dell\u2019impronta digitale, ma \u00e8 una funzionalit\u00e0 extra). Ecco fatto, nessuna impostazione complessa, n\u00e9 bisogna digitare lunghe sequenze di caratteri random o effettuare operazioni complicate collegate al mondo cifratura<\/em>.<\/p>\nC\u2019\u00e8 una app per tutto: le app di autenticazione<\/h2>\n
Come funzionano le app di autenticazione<\/h3>\n
\n
![\"Come](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2018\/10\/17171122\/2fa-practical-guide-app-registration-IT.png\")
<\/p>\nApp per la 2FA e compatibilit\u00e0 del servizio<\/h3>\n
Le migliori app per l\u2019autenticazione in due passaggi<\/h3>\n
1. Google Authenticator<\/strong><\/h4>\n
![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2018\/10\/17171311\/2fa-practical-guide-google-icon.png\"){kind=icon}
<\/p>\n 2. Duo Mobile<\/strong><\/h4>\n
![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2018\/10\/17171255\/2fa-practical-guide-duo-icon.png\"){kind=icon}
<\/strong><\/p>\n 3. Microsoft Authenticator<\/strong><\/h4>\n
![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2018\/10\/17171420\/2fa-practical-guide-microsoft-icon.png\"){kind=icon}
<\/p>\n 4. FreeOTP<\/strong><\/h4>\n
![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2018\/10\/17171519\/2fa-practical-guide-freeotp-icon.png\"){kind=icon}
<\/p>\n 5. Authy<\/strong><\/h4>\n
![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2018\/10\/17171621\/2fa-practical-guide-authy-icon.png\"){kind=icon}
<\/p>\n 6. Yandex.Key<\/strong><\/h4>\n
![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2018\/10\/17171715\/2fa-practical-guide-yandex-icon.png\"){kind=icon}
<\/p>\nStrumenti di autenticazione hardware FIDO U2F: YubiKey e altri<\/h2>\n
Come funzionano i token FIDO U2F<\/h3>\n
![\"Come](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2018\/10\/17171822\/2fa-practical-guide-U2F-IT.jpg\")