Autenticazione a due fattori: come proteggere i vostri account

L’ autenticazione a due fattori combina due componenti diversi e indipendenti l’uno dall’altro per l’identificazione di un utente autorizzato. Un semplice esempio di questa autenticazione a due fattori si attinge dalla quotidianità, quando ci troviamo allo sportello del bancomat o siamo in fila ad alcune casse dei supermercati. Infatti per prelevare i soldi o pagare al supermercato sono sempre indispensabili due componenti: il PIN (o la firma) e una carta bancomat. Solo quando entrambi risultano corretti, l’ autenticazione a due fattori è andata a buon fine. Lo stesso principio può essere applicato anche per la sicurezza degli account e-mail, degli shop online o quelli dei grandi portali web.

Ma sul web, malauguratamente, una schiacciante maggioranza degli account viene ancora protetta con un solo componente: solitamente basta una password per il login in un account e-mail, nei servizi di archiviazione cloud o nei negozi online. Se gli hacker ne entrano in possesso, riescono ad avere velocemente accesso a e-mail, dati sensibili degli account e a file personali. Per impedirlo sempre più servizi come Dropbox, Google o Amazon hanno introdotto l’autenticazione a due fattori come misura di sicurezza aggiuntiva. Questo procedimento può variare, visto che i diversi componenti per un’autenticazione a due passaggi possono essere combinati.

I componenti o fattori necessari per l’accesso possono essere molteplici. I fattori più importanti e più diffusi per una verifica in due passaggi sono:

• Token o tessere

• PIN (numeri di identificazione personali)

• TAN (numeri di transazione)

• Password

• Elementi biometrici (come l’impronta digitale, il riconoscimento vocale o l’identificazione tramite iride)

Per l’identificazione di una persona autorizzata tutti questi componenti prevedono il riconoscimento di qualcosa che conosce, possiede o che è inscindibilmente collegato alla sua presenza (“conoscere”, “possedere”, “essere”). L’esempio del bancomat dimostra che nella vita di tutti i giorni i token vengono combinati prevalentemente con uno degli altri fattori. Questo procedimento ha lo svantaggio notevole che anche le persone autorizzate devono sempre fare affidamento a un token, cosa che in momenti di distrazione può portare ad inserire i numeri errati e può quindi capitare che seppur autorizzati, non si riesca ugualmente ad avere l’accesso al servizio.

Per questo motivo nel World Wide Web vengono utilizzati sempre più autentificazioni a due fattori per l’identificazione di utenti autorizzati, che avvengono senza ricorrere ai classici token o che minimizzano almeno il rischio di perdita: solitamente, oltre a una password, viene generato dal sistema un codice automatico. La ricezione di questo codice avviene sullo smartphone dell’utente autorizzato, per SMS, e-mail o tramite un’app speciale di autenticazione. Così si assicura che abbia accesso solo quella persona che è in possesso di questo codice di sicurezza aggiuntivo. Il vantaggio è che il codice è valido solo una volta e, anche se non viene usato, smette comunque di essere valido automaticamente dopo un certo periodo di tempo.

Inoltre l’ autenticazione a due fattori senza token o tessera consente di poter stabilire anche dei metodi di ricezione secondari per il codice di sicurezza: se non è ad esempio possibile l’accesso all’app, si può decidere che venga inviato alternativamente un SMS o che l’utente autorizzato riceva una chiamata con una voce automatica che gli riveli il codice.

Si sa che non è possibile garantire la sicurezza di un account al cento per cento e quindi perché si dovrebbe fare lo sforzo di impostare un’autenticazione a due fattori? La risposta è a portata di mano: la verifica in due passaggi aggiunge al processo di identificazione un livello aggiuntivo, in un certo senso un secondo ostacolo che gli utenti non autorizzati devono riuscire a superare. Inoltre è da tenere in considerazione che quasi tutti i classici attacchi di phishing falliscono in presenza di un’autenticazione a due fattori.

Con il phishing i cybercriminali tentano di entrare in possesso di password, PIN o TAN tramite e-mail false con link a siti preparati prima. Le e-mail sembrano arrivare da servizi e-mail, banche e shop online autentici e invitano solitamente a cambiare un fattore di identificazione per presunti motivi di sicurezza. In realtà le password, i PIN o i TAN inseriti vengono spiati.

Proprio recentemente sono avvenuti degli attacchi hacker durante la campagna elettorale del nuovo presidente degli Stati Uniti. Nel 2016 sono state hackerate le caselle di posta di alcuni politici democratici, come quella del presidente della campagna di Hillary Clinton John Podesta e dell’ex segretario di Stato Colin Powell. Sono state così inviate delle e-mail false che provenivano apparentemente da Google e indicavano che un indirizzo IP sconosciuto originario dell’Ucraina avrebbe avuto accesso agli account gmail di questi politici. Cliccando sul link contenuto nell’e-mail si veniva reindirizzati a una pagina falsa e perciò è stato necessario cambiare subito la password. L’URL di questo sito è stato abbreviato e così nascosto, mentre il layout della pagina di Google è stato riprodotto.

Trucchi fraudolenti come questi riescono ad avere ancora successo: dei 108 membri della campagna di Clinton 20 hanno cliccato sul link e nel comitato nazionale del partito democratico lo hanno fatto 4 su 16. Se gli account di Google colpiti fossero stati protetti con un’autenticazione a due fattori, gli hacker non avrebbero potuto far niente con le password raccolte. Infatti in quel caso per andare a buon fine l’attacco sarebbe stato necessario inserire il secondo fattore, ovvero un codice di sicurezza unico che sarebbe stato inviato solo al cellulare della persona autorizzata.

Ma perché quindi questo procedimento non è ancora così diffuso? La configurazione della verifica in due passaggi su Google non è né particolarmente dispendiosa né così complicata o snervante. Non è necessario inserire il codice di sicurezza generato automaticamente ogni volta che si rieffettua il login, perché è possibile classificare permanentemente un dispositivo come sicuro. Il seguente video di Google spiega come funziona l’impostazione del procedimento:

Anche sugli altri servizi la configurazione di un’autenticazione a due passaggi non è affatto una stregoneria: quasi tutte le grandi aziende, come Amazon, Microsoft e Apple, offrono ormai ai loro clienti delle simili opzioni. Tuttavia la bassa diffusione dell’autenticazione a due fattori pone l’interrogativo se il procedimento, oltre a offrire una maggiore sicurezza, nasconda anche degli svantaggi.

Un’elevata sicurezza tramite un’autenticazione a due fattori porta con sé prevalentemente dei vantaggi. Tuttavia se si è degli utenti sbadati o in caso di crash di sistema sussiste il rischio di venir bloccati, quindi la verifica in due passaggi comporta un secondo ostacolo non solo per i potenziali hacker, ma talvolta anche per gli utenti autorizzati. Visto che l’autenticazione a due fattori per la protezione degli account è composta in genere da una combinazione dei concetti nominati prima, “Conoscere” (password, ecc.) e “Possedere” (il cellulare al quale viene inviato il codice di sicurezza), la perdita dello smartphone porta ad esempio l’utente autorizzato a non aver accesso al suo account per un certo periodo. Non si possono neanche escludere completamente problemi tecnici con le app di autenticazione.

Per casi simili la maggior parte dei servizi mettono però a disposizione un’opzione di ripristino, ad esempio dando la possibilità di fornire un altro numero al quale deve essere inviato alternativamente il codice di autenticazione. Viene anche richiesto di appuntarsi o stampare dei codici o di inserire altri indirizzi e-mail sostitutivi per consentire l’accesso all’account in situazioni di emergenza. Così questo apparente svantaggio viene minimizzato. Al momento dell’impostazione di questo procedimento, si dovrebbe solo fare attenzione di aver anche preso in considerazione tutte le misure di sicurezza, a patto che rimangano opzionali e non obbligatorie, e documentare accuratamente come comportarsi in caso di un accesso di emergenza. Così si riduce notevolmente il rischio di rimanere bloccati.