Il termine «2FA» è un acronimo di utilizzo ormai frequente in ambito IT e sta per «2 Factor Autentication» ovvero «autenticazione a 2 fattori».
Ha anche diverse denominazioni, tra cui “verifica in due passaggi” e “accesso a due fattori”, ma comunque la si voglia chiamare la procedura rimane invariata. Si tratta di un processo che richiede due modi di provare la tua identità prima di accedere a un account.
L’esempio più comune è quello di ricevere di un SMS contenente un codice segreto che viene inviato per confermare alcune operazioni delicate, come un acquisto online.
Lo standard che ci ha accompagnato per anni, ovvero una singola parola segreta abbinata al nostro username, è una soluzione debole.
Ciononostante, la quasi totalità dei nostri dati personali, siano essi privati o aziendali, hanno questo come unico livello di protezione.
Ma la realtà è ben peggiore di quanto fin qui dipinto. Non solo infatti la password costituisce un unico punto di attacco, spesso è anche concepita e gestita in modo errato.
Password: crearle e gestirle al meglio
Le password sono normalmente generate per essere ricordate e archiviate nella nostra memoria. Per questo motivo non sono complesse e la loro lunghezza è limitata.
Il livello corretto di sicurezza dovrebbe prevedere una lunghezza di almeno 25 caratteri e una complessità elevata. Utilizzando lettere maiuscole e minuscole, caratteri speciali e numeri.
Inoltre, molto spesso, le password vengono riutilizzate o create con schemi fissi. Questa è una cattiva e rischiosissima cattiva abitudine.
Contrariamente a quanto infatti si può immaginare è possibile forzare password apparentemente complesse in pochissimi secondi grazie a hardware di largo consumo, facilmente disponibile e accessibili a tutti.
Autenticazione a due fattori: le due varianti tra cui scegliere
L’autenticazione a due fattori può essere declinata con tecnologie diverse. Possiamo parlare di almeno due varianti, ormai diffuse:
- La prima variante può essere generalizzata con il termine «OTP» ovvero «One Time Password». Un codice numerico, di norma 6 cifre che cambia ogni tot secondi, normalmente 30. Si esegue il login con il nome utente e la password ma prima che l’accesso venga autorizzato, viene chiesto di inserire il codice numerico.
- La seconda variante sono i token. Fisicamente sono simili alla classica chiavetta USB ma al loro interno è presente un componente elettronico che possiamo identificare come Secure Element (SE) in cui è archiviato un certificato digitale. Inserite le credenziali, verrà chiesto di inserire fisicamente questa chiavetta speciale in una porta USB libera sul computer.
Anche se le password sono cifrate, possono essere sottoposte a brute forcing, ovvero ad un algoritmo che le può decifrare, soprattutto se non sono sufficientemente complesse e lunghe.
L’autenticazione a due fattori entra in gioco in questi casi. Possiamo accettare che la password primaria venga violata, a patto che un secondo meccanismo di verifica si renda necessario per dare accesso ai dati personali.
Un attacco può violare la password ma non potrà accedere al secondo codice di autenticazione, codice numerico o token fisico.
Ne abbiamo parlato con Matteo Ceriani, CEO di Argemonya.