fbpx Le macchine Volanti! | Glossario: Autenticazione a due fattori
Glossario: Autenticazione a due fattori
--

Glossario: Autenticazione a due fattori

Scegliere una password forte, non banale né facile da indovinare, costituisce la prima buona pratica da attuare se si desidera proteggere privacy e portafogli, ma anche questo non risulta ormai più sufficiente. Il motivo è presto spiegato: le frequenti violazioni dei servizi online hanno esposto gran parte delle credenziali scelte dagli utenti, con i codici segreti distribuiti poi di frequente sulle bacheche o sui forum del Dark Web e posti così nelle mani dei malintenzionati. Come risultato, per i cybercriminali è oggi meno difficoltoso accedere a profili, informazioni riservate e talvolta metodi di pagamento altrui, anche conoscendo solo lo username o l’indirizzo email delle proprie vittime. È in uno scenario di questo tipo che entra in gioco l’autenticazione a due fattori, strumento essenziale per scongiurare il rischio.

In estrema sintesi, si tratta di un metodo che prevede l’impiego di un doppio controllo in fase di login. Per ridurre il tutto ai minimi termini, mediante un paragone con il mondo fisico, è come montare una serratura aggiuntiva alla porta di casa: persa una chiave, si può star certi che nessun estraneo possa comunque entrare.

Solitamente, all’accoppiata username-password si affianca il test di una seconda credenziale. Può essere una sequenza di cifre, una OTP (One Time Password) di tipo usa e getta generata all’occorrenza attraverso un’applicazione mobile o ricevuta via SMS al proprio numero, una chiave di sicurezza da leggere tramite connessione a una porta USB o in modalità contactless via NFC, il riconoscimento biometrico dell’impronta digitale, dei tratti somatici del viso o la scansione dell’iride.

Talvolta, l’autenticazione a due fattori è indicata anche come verifica in due passaggi o 2FA (Two-Factor Authentication). Per completezza d'informazione, è bene precisare che non si tratta di un sistema messo a punto con l'obiettivo di far fronte alle nuove minacce emerse nel territorio della cybersecurity; la tecnica è impiegata da tempo, basti pensare a quando, inserendo il bancomat in un ATM per il prelievo, lo sportello chiede di digitare il proprio codice segreto: in questo caso, la lettura della tessera costituisce il primo fattore, mentre il PIN rappresenta il secondo.

Un gigante del mondo online come Google ne ha di recente annunciato l’attivazione automatica per circa 150 milioni di account altrimenti ritenuti a rischio.

A proposito di sicurezza e cattive abitudini, una curiosità: dal 2014 in poi, il codice segreto più comune scelto dagli utenti per proteggersi è “123456”, mentre in precedenza era “password”. Un esempio da non seguire, così come è fortemente sconsigliato affidarsi alla stessa parola chiave per più servizi, poiché, così facendo, la violazione di un singolo profilo finisce col mettere a repentaglio tutti gli altri. Anche con l'impiego dell'autenticazione a due fattori è importante scegliere una password forte. Segnaliamo infine il vademecum del Garante Privacy che raccoglie alcuni suggerimenti utili e il portale Have I Been Pwned che aiuta a scoprire eventuali compromissioni.

Cristiano Ghidotti