Verifica a due passaggi o autenticazione a due fattori

Tempo di lettura: 3 minuti

Questo articolo ti spiega come puoi aumentare la sicurezza del tuo account Gmail o Outlook se hai una o più caselle su quei servizi.

La Verifica a due passaggi o autenticazione a due fattori è anche comunemente chiamata 2FA o 2 Factor Authentication.

autenticazione a due fattori
autenticazione a due fattori

Normalmente quando accedi a un sito ti vengono chiesti nome utente o email e password; tu li inserisci e sei dentro, hai fatto il login.

Ma il sistema non può sapere se chi è entrato sei effettivamente tu; sa solo che nome e password sono corretti quindi, se chi entra è un malintenzionato, il sistema non ne ha la minima percezione perché non c’è nessun controllo sul fatto che solo tu possa accedere; in realtà può accedere chiunque abbia nome utente e password perché nei tempi passati si pensava che bastassero questi elementi per essere sicuri.

Quando poi si è scoperto che moltissime persone utilizzavano password che avrebbe potuto scoprire anche un bambino, allora ci si è chiesti cosa poteva essere fatto per aumentare la sicurezza.

L’autenticazione a due fattori o verifica a due passaggi permette, una volta configurata, di verificare che chi fa il login sia veramente la persona che dice di essere e il funzionamento è abbastanza semplice.

Come funziona nell’uso quotidiano

Quando devi entrare in un sito protetto, ecco come funziona l’autenticazione a due fattori.

  1. Vai al sito e inserisci nome utente e password
  2. Il sistema ti manda un SMS di verifica e ti chiede di inserirlo oppure ti chiede di usare un App e di digitare un codice che appare.
  3. Se inserisci i dati corretti puoi entrare

In questo modo se anche qualcuno ti rubasse la password, non potrebbe superare questo secondo passaggio anzi, tu lo sapresti subito perché ti arriverebbe un SMS che tu non hai richiesto oppure il malintenzionato sarebbe bloccato dal fatto di non sapere che codice inserire perché quello lo hai solo tu.

Tutti i principali servizi come Apple, Google, Facebook, Dropbox, Linkedin e moltissimi altri possono essere configurati per usare l’autenticazione a due fattori e consiglio seriamente di farlo ove possibile perché alcuni servizi, email compresa, contengono dati molto importanti e riservati.

Tra l’altro l’autenticazione a due fattori permette di riconoscere il tuo computer personale del lavoro oppure quello di casa in modo da non chiedere sempre l’accesso anche se questo potrebbe essere un problema per la sicurezza nel caso in cui il computer venga rubato. Do ovviamente per scontato che anche il tuo computer dovrebbe avere una password per accedere.

Per tua conoscenza sappi che quando viene usato più di un fattore di autenticazione si parla di strong authentication (autenticazione forte), mentre l’uso di un solo fattore, per esempio la sola password, viene considerato una autenticazione debole.

Quale autenticazione a due fattori usare?

Se dovessi scegliere tra SMS o app di autenticazione, sceglierei sicuramente la seconda che è molto più sicura.

Configurare l’autenticazione a due fattori

Abbiamo visto che c’è l’autenticazione che si ottiene tramite l’invio di un SMS e quella tramite un’app specifica e, a questo riguardo, ci sono diverse app che si contendono la corona.

Quando attivi su un sito la 2FA ti appare un QR Code che tu devi inquadrare con il tuo telefono e il servizio verrà registrato e sincronizzato con il sito nell’app che utilizzi.

Assieme al QR Code ti verrà mostrata una stringa di testo con dei caratteri che potrai utilizzare al posto di inquadrare il QR Code.

Ti consiglio di salvare assolutamente questa stringa di caratteri assieme al nome del sito o del servizio relativo, in modo da averla a disposizione sempre nel caso dovessi perdere l’accesso alla tua app di autenticazione.

Ho sempre usato Google Authenticator che funziona benissimo ma ha un grossissimo problema. Per fare il backup dei tuoi codici è prevista una procedura ridicola che prevede di fotografare con un altro cellulare il QR Code mostrato sul tuo telefono quando chiedi di esportare i codici.

Ecco un esempio.

Configurare l’autenticazione a due fattori
configurare l’autenticazione a due fattori

 Se per caso fotografi male il QR Code e questo non è leggibile, tu hai perso tutte le possibilità di autenticarti quando entri nei siti configurati e quindi sei tagliato fuori da ogni sito!

Ne esistono anche altri e il migliore in assoluto è sicuramente Authy che esiste per Android e iPhone.

Authy non solo fa il backup nel cloud quindi non hai problemi se dovessi perdere il telefono o dovessero rubartelo. Il backup viene fatto in automatico in continuazione.

La cosa più interessante è anche che puoi usare Authy anche se non hai sottomano il tuo telefono per qualsiasi motivo, perché dal sito puoi scaricare l’applicazione per Windows o MacOS e usarla per farti generare i codici che ti servono.

L’autenticazione a 2 fattori è molto più sicura rispetto all’invio di un SMS che può essere intercettato con delle tecniche particolari che usano i criminali per clonare la sim del tuo telefono, la cosiddetta tecnica del Sim Swap.

È però importante usare un’app come Authy perché ha il backup e può anche essere usata offline. Se un giorno dovessero mettere a posto l’app di Google, non ci sarebbero problemi a continuare a usare quella ma una vale l’altra e quindi è da ricercare quella che in assoluto ti offre la migliore sicurezza.

Anche perché queste app sono del tutto gratuite.

Approfondimenti

Dai un voto all'articolo

Verifica a due passaggi o autenticazione a due fattori Questo articolo ti spiega come puoi aumentare la sicurezza del tuo account Gmail o Outlook se hai una o più caselle su quei servizi. La Verifica a due passaggi o autenticazione a due fattori è anche comunemente chiamata 2FA o 2 Factor Authentication. Normalmente quando accedi a un sito ti vengono chiesti nome utente o email e password; tu li inserisci e sei dentro, hai fatto il login. Ma il sistema non può sapere se chi è entrato sei effettivamente tu; sa solo che nome e password sono corretti quindi, se chi entra è un malintenzionato, il sistema non ne
5 1 5 3
5

banner manuale di autodifesa digitale

Lascia un commento...

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Disponibile il libro Manuale di Autodifesa Digitale | Come difendersi dal phishing
Manuale di Autodifesa Digitale - il libro