Per alcuni sono stressanti, richiedono un grado di attenzione a volte notevole per essere eseguite (e meno male, visto che siamo sempre più distratti!), spesso le malediciamo, eppure la vasta offerta (oramai pre-requisito per accedere a qualsivoglia servizio online o autorizzare l’esecuzione di qualcosa) dei servizi di autenticazione rafforzata ci protegge ogni giorno di più dai pericoli del web. I più utilizzati sono due: l’autenticazione e due fattori e la cosiddetta strong authentication. E sì, sorpresa: non sono la stessa cosa, sono due metodi diversi. Eppure anche molti addetti ai lavori tendono ad assimilarli.
In questo articolo vedremo meglio l'autenticazione a due fattori 👇
Cos’è l’autenticazione a due fattori (2FA)
L'autenticazione a due fattori (2FA), o “2 Factors Authentication”, è un metodo di identificazione di sicurezza che richiede ad un utente di fornire due diverse prove della sua identità prima di accedere ad un account o ad un servizio online. In genere, queste “prove” consistono in qualcosa che l'utente sa (come la classica password) e qualcosa che l'utente possiede (ad esempio uno smartphone) e utilizza per ricevere un codice di accesso temporaneo (noto come token) necessario per completare l'accesso.
L'autenticazione a due fattori è diventata una pratica comune per proteggere gli account online, in particolare quelli che contengono informazioni sensibili o che hanno accesso a risorse finanziarie, come il proprio conto bancario online.
Come funziona l’autenticazione a due fattori
Quando si configura l'autenticazione a due fattori per la prima volta, si deve associare il proprio account online ad uno smartphone o ad un altro dispositivo in grado di ricevere messaggi di testo o codici di accesso.
Successivamente, ogni volta che si accederà all'account, si dovrà fornire la propria password come prima prova di identità. E fin qui siamo sempre stati abituati (magari scegliendo password troppo deboli…!). A questo punto, però, la sicurezza aumenta, perché subentra un secondo livello: dopo aver verificato che la password sia corretta viene inviato un messaggio di testo o un codice di accesso (il cosiddetto “OTP”, ovvero “One Time Password” - in italiano "password (valida) una sola volta", ovvero solo per una singola sessione di accesso o una transazione) al dispositivo associato all’account, che l'utente deve inserire come seconda prova di identità per completare l'accesso.
In alcuni casi, il codice di accesso può essere generato da un'app dedicata, come Google Authenticator o Authy, che possono essere scaricate sullo smartphone. In questo caso, non è necessario attendere l'arrivo di un messaggio di testo per ottenere il codice di accesso.
☝️ L'autenticazione a due fattori è importante perché aggiunge un ulteriore livello di sicurezza all'accesso a un account online. Anche se qualcuno conoscesse la password dell'utente, non sarebbe in grado di accedere all'account senza il codice di accesso inviato al dispositivo associato. E limitando così drasticamente l’eventuale successo di tentativi di phishing o dei cosiddetti “brute force”, ovvero l'individuazione di una password provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri. Operazione, quest’ultima, che al giorno d’oggi è ancora molto diffusa (poiché, inutile dirlo, troppo spesso si utilizzano combinazioni di password poco efficaci).