Come attivare l’autenticazione a due fattori
1. Quanto può essere sicura una Password?
Immaginiamo una password come questa:
$BjG46ebD3@GfJ86u/y%C3)i
Quanto è sicura?
Sicuramente è molto forte, praticamente inattaccabile per un attacco a forza bruta che impiegherebbe molti miliardi di anni per scoprirla.
Come abbiamo spiegato in un nostro precedente articolo: una password siffatta, lunga 24 caratteri ha un’entropia S pari a 157 bit, quindi addirittura sovrabbondante rispetto all’entropia massima consigliata che è 128 bit.
Ma potrebbe non bastare… se venisse scoperta, per esempio a causa di una disattenzione o di un errore dell’utilizzatore, che magari l’ha comunicata abboccando ad un’email di phishing.
O l’ha scritta in bella vista su un post-it… casi che ci capita di vedere troppo spesso!
Perciò non possiamo escludere che una password – per quanto sicura – venga rubata o scoperta.
Un’autenticazione basata solo su password è dunque intrinsecamente debole, qualunque sia la password impostata, perché la sicurezza dell’account dipende da un solo fattore, appunto la password.
Nella Cybersecurity la difesa deve essere realizzata a strati: si parla per questo di “layered security”, per evitare quello che il celebre Kevin Mitnick definì “l’effetto M&M”.
M&M sono quelle note caramelle con un guscio confettato: duro fuori… ma morbide dentro!
Una volta rotto il guscio, siamo all’interno della M&M.
Trasponendo l’immagine all’ambito della cybersecurity: è importante avere una seconda linea di difesa, se la prima viene superata. Questo concetto – fondamentale – si deve applicare anche alle password e più estensivamente al processo di autenticazione.
Per accedere a qualunque sistema digitale (computer, bancomat, siti web o altro) ci sarà richiesto dapprima di presentarci, dichiarando il nostro username.
Poi dovremo dimostrare che siamo proprio noi: questa è la fase di “autenticazione” che può avvenire con tre diversi metodi:
» Conoscenza: “una cosa che sai”, per esempio una password o un PIN;
» Possesso: “una cosa che hai”, come uno smartphone o un token di sicurezza (quelle piccole “chiavette” che ci davano le banche e che generavano un codice a 6 cifre, oppure i token Fido);
» Inerenza: “una cosa che sei”, come l’impronta digitale, il viso, l’iride, o altre caratteristiche biometriche.
In genere viene richiesto un solo fattore (di solito una password).
Per innalzare i livelli di sicurezza sono state introdotte le tecniche di “strong authentication” o autenticazione a due o più fattori.
Definita anche 2FA (“Two Factor Authentication”) o MFA (“Multi Factor Authentication”), è oggi il sistema di protezione più sicuro che possiamo usare.
Anzi che dobbiamo usare.
Si parla di 2FA se si usano due fattori e di 3FA se ne vengono richiesti tre (molto meno usata, è impiegata per esempio nello SPID di 3° livello).
La condizione affinché si possa definire “autenticazione a due fattori” si verifica solo quando i due fattori utilizzati sono di matrice differente: in altre parole se, per esempio, si usa “Una cosa che sai” + “Una cosa che hai”.
Mentre non può essere – a rigore – considerata 2FA un’autenticazione fatta con due password (perché due fattori della stessa natura).
>> FlashStart ti protegge da una vasta gamma di minacce, inclusi malware e tentativi di phishing ? Richiedi ora un’offerta e Inizia subito la tua prova gratuita
2. Come funziona la MFA
La MFA richiede almeno due dei tre fattori sopra elencati: dopo aver digitato la password (che in genere rappresenta il primo fattore) del proprio account, sarà richiesto di inserire un secondo fattore, che nella maggior parte dei casi è un PIN o un codice, da ottenere grazie allo smartphone (sotto forma di SMS o tramite un’apposita applicazione) o tramite un token fisico.
A differenza della password, questo secondo codice è di fatto inattaccabile, perché generato in maniera pseudocasuale secondo un algoritmo e con una durata molto limitata nel tempo (solitamente 30 secondi). Si chiama anche, per questo motivo, OTP: “one time password”.
Il secondo fattore può essere anche di tipo biometrico: “una cosa che sei”. Ne abbiamo un esempio nelle applicazioni per smartphone delle banche: per aprire l’app e anche per eseguire operazioni dispositive (p.es. fare un bonifico), ci viene richiesta la seconda autenticazione con l’impronta digitale o con il riconoscimento facciale.
3. Come ottenere il secondo fattore di autenticazione
Esistono tipicamente quattro possibili modalità:
» Attraverso un sms che ci viene inviato: è una soluzione molto diffusa, ma è anche la meno sicura, a causa della ormai nota vulnerabilità del protocollo Signalling System No.7 (SS7), un protocollo molto datato (nato negli anni ’70) e non sicuro.
Inoltre esiste un rischio ancora peggiore: si potrebbe incorrere nella truffa nota come “SIM swap fraud”, cioè la clonazione della nostra SIM da parte del malintenzionato che – in questo modo – ricevere al posto nostro l’SMS con il codice numerico di seconda autenticazione.
Anche il NIST nella SP 800-63B “Digital Identity Guidelines” al capitolo 5.1.3-Out-of-Band Devices depreca l’utilizzo dell’SMS per ricevere il secondo fattore OTP, proprio per il rischio di SIM swap.
Ed infine, da non sottovalutare: questo sistema ci obbliga a fornire il nostro numero di cellulare a un social network o a un sito web: questo potrebbe non essere gradito in termini di privacy.
» Utilizzando applicazioni dedicate che generano un codice a 6 cifre da inserire nel browser: quando il sito rende disponibile questa opzione, consiglio di sceglierla, perché è il metodo più pratico, non richiede la copertura telefonica ed è molto sicuro.
Le applicazioni più note – tutte gratuite – che si possono utilizzare sono Authy, Google Authenticator, Microsoft Authenticator. Alcuni Password Manager, per esempio LastPass e 1Password, ma non solo, implementano questo servizio. Il sistema tramite app di autenticazione è ormai molto diffuso e negli ultimi anni sono sempre più numerosi i siti che lo offrono tra le opzioni possibili.
» Con un token hardware: sistema molto sicuro ma ancora poco diffuso. Ad ogni account – che ne supporti la funzionalità – viene collegato un dispositivo fisico d’accesso, simile a una chiavetta USB, realizzato secondo lo standard U2F Security Key. Questo è un protocollo aperto di autenticazione 2FA sviluppato da Google e da Yubico nel 2013 ed oggi gestito e regolato dalla FIDO Alliance (fondata nel 2012).
Le U2F Security Key sono prodotte da Google nei modelli Titan Security Key, da Feitian e soprattutto da Yubico, con prezzi a partire da 25 € per i modelli base e fino a 80-90 € (in figura 3 la gamma Yubico).
È un sistema molto sicuro, che può essere impiegato anche nelle aziende per l’autenticazione al computer ed ai servizi aziendali, con un notevole, miglioramento della sicurezza. Non è certamente il più pratico, né il più economico: oltre ad avere un costo, non tutti i servizi lo supportano. Inoltre richiede il collegamento diretto al computer per l’autenticazione: nel caso dei PC l’interazione è tramite porta USB.
Ma nel caso degli smartphone le U2F Security Key devono essere dotate di NFC (Near Field Communication) o Bluetooth o, nel caso degli iPhone, devono avere una porta di tipo Lightning, con costo decisamente più alto. Ed infine dobbiamo avere la Security Key sempre con noi per poter fare l’autenticazione, facendo attenzione a non perderla. Per questo motivo i produttori consigliano di crearne una copia di riserva…
» Con notifica push: l’autenticazione a due fattori in questo caso viene eseguita attraverso una notifica che arriva da un’applicazione collegata al servizio in uso, ma installata su un altro dispositivo. Questo sistema è utilizzato soprattutto nell’Internet banking, mediante le app proprietarie fornite da ogni banca ed installate sugli smartphone. È una modalità molto sicura ed anche semplice: dopo l’immissione di password e nome utente, la persona riceverà una notifica push sullo smartphone che gli chiederà se vuole autorizzare l’accesso attraverso l’applicazione della banca stessa. Spesso questa autorizzazione viene data mediante una pratica e veloce autenticazione biometrica: impronta digitale, viso o altro.
4. Come attivare l’autenticazione a due fattori
La modalità di attivazione è più o meno sempre la stessa: dopo essersi registrati al sito, si accede alla pagina delle “Impostazioni di Sicurezza” (il nome può anche essere leggermente diverso, ma si tratta sempre della sezione dove andiamo, per esempio, per modificare la password).
Si sceglie di attivare la 2FA, dopodiché il sito ci guiderà nella procedura e ci chiederà come vogliamo ricevere il codice: il metodo più diffuso in tutti i siti (ma non consigliato!) è attraverso un SMS, quindi dovremo indicare uno smartphone “affidabile” al quale il codice verrà inviato.
Se optiamo per questa scelta (che, come detto, non è la migliore), consigliamo di registrare sempre due o più numeri di telefono, per maggior sicurezza. Poi, a ogni successivo invio, ci verrà chiesto di scegliere su quale dispositivo vogliamo ricevere il codice.
Quasi tutti i siti permettono di scegliere, in alternativa al codice via SMS, l’uso delle succitate applicazioni in grado di generare il codice temporaneo (OTP). Come detto, se disponibile, è la scelta da preferire ed è anche molto semplice e totalmente gratuita: l’abbinamento viene fatto attraverso la lettura di un QRcode che compare sullo schermo del computer e che dovremo inquadrare con la camera dello smartphone.
Tale operazione si chiama “Enrollment” ed esegue lo scambio della chiave crittografica univoca tra il sito e l’applicazione, che in questo modo risulteranno sincronizzate.
Ciascuna di queste applicazioni permette di salvare al suo interno le OTP per tutti i siti nei quali abilitiamo la 2FA.
Ai successivi login, oltre a username e password, dovremo inserire il codice OTP a 6 cifre visualizzato dall’applicazione e che ogni 30 secondi verrà rigenerato.
Esiste – quasi in tutti i siti – una comoda opzione che ci permetterà di non dover più inserire nei login successivi il codice OTP: questa opzione si chiama in genere: “considera questo dispositivo attendibile” (o qualcosa di simile) e va attivata una tantum.
In pratica, poiché l’autenticazione a due fattori è finalizzata a evitare accessi da computer o dispositivi diversi dai nostri, potremo fare in modo che il sito riconosca che stiamo facendo il login dal nostro “abituale” dispositivo e non ci richieda più il secondo fattore di autenticazione.
5. Quali servizi offrono l’autenticazione a due fattori?
A eccezione dei servizi di Internet banking, nei quali la 2FA è obbligatoria per la Direttiva (UE) 2015/2366 (nota come PSD2, entrata in vigore anche in Italia dal 14 settembre 2019) e alcuni altri servizi come SPID che ce la impongono, in tutti gli altri siti non siamo obbligati a usare l’autenticazione a due fattori.
È un’opzione facoltativa, ma che consigliamo caldamente, almeno per i servizi più importanti come, per esempio, Amazon, Apple ID (iCloud), Dropbox, Evernote, Facebook, Google, LinkedIn, Microsoft, PayPal, Twitter, Yahoo!, WordPress. E naturalmente per tutti gli account aziendali!
Ci sono anche molti altri siti che la offrono, si può consultare l’elenco completo (con visualizzazione delle opzioni disponibili per ciascun sito) su questo utile link.
6. Qual è il futuro dell’autenticazione a due fattori?
Secondo un rapporto di Juniper Research, il numero di utenti di smartphone che faranno uso di sistemi di autenticazione biometrica (impronta, viso, voce, iride, ecc.) crescerà di oltre il 250% nei prossimi 5 anni.
Secondo l’autore del report James Moar:
La battaglia principale ora sarà convincere gli utenti, in particolare quelli in Europa e Nord America, che questi metodi sono sicuri almeno quanto i tradizionali sistemi di sicurezza basati su hardware.
Nel 2018 Google aveva comunicato che solo il 10% degli account attivi faceva impiego di questa misura di sicurezza.
Forse anche per questo motivo, la stessa Google ha annunciato (ottobre 2021) che attiverà l’autenticazione a due fattori come impostazione predefinita. Inizialmente riguarderà unicamente i creatori iscritti al Partner Program (cioè quelli che monetizzano tramite la piattaforma YouTube), ma si suppone che verrà poi estesa anche agli altri utenti.
>> Puoi installare facilmente FlashStart su tutti i tipi di router e endpoint e, in pochi e semplici passi, goderti una navigazione sicura ? Richiedi ora un’offerta e Inizia subito la tua prova gratuita
7. L’autore
Giorgio Sbaraglia, ingegnere, svolge attività di consulenza e formazione per la sicurezza informatica e per la privacy.
Tiene corsi su questi temi per molte importanti società italiane di formazione, tra le quali ABIFormazione e 24Ore Business School.
È coordinatore scientifico del Master “Cybersecurity e Data Protection” della 24Ore Business School.
È membro del Comitato Scientifico CLUSIT (Associazione Italiana per la Sicurezza Informatica) e certificato “Innovation Manager” da RINA.
Ricopre incarichi di DPO (Data Protection Officer) presso aziende e Ordini Professionali.
È autore dei libri:
» “GDPR kit di sopravvivenza” (Editore goWare),
» “Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (Editore goWare),
» “iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” (Editore goWare).
Collabora con CYBERSECURITY360 testata specialistica del gruppo Digital360 per la Cybersecurity.
Scrive anche per ICT Security Magazine, per Agenda digitale e per la rivista CLASS.
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.