Autenticazione a due fattori: ecco perché tutti dovrebbero usarla

Autenticazione a due fattori: ecco perché tutti dovrebbero usarla

Che cos’è l’autenticazione a due fattori?

Il 6 maggio 2021, in occasione della Giornata Mondiale della Password (World Password Day) – ideata nel 2013 da Intel Security per aumentare la consapevolezza degli utenti sui temi dell’Information Security e della Cyber Security – Google ha annunciato che renderà attiva di default l’autenticazione a due fattori per rafforzare la sicurezza degli account.

Anche Youtube, a partire dal 1° novembre 2021, ha adottato la “verifica in due passaggi” che per il momento riguarda solo i creator che aderiscono al Partner Program e monetizzano tramite la piattaforma.

Che cos’è l’autenticazione a due fattori? La verifica in due passaggi, nell’accezione inglese Two Factor Authentication (2FA), è un protocollo di sicurezza basato sull’uso congiunto di due metodi di autenticazione per convalidare l’identificazione di un utente e prevenire la violazione dei dati sensibili. In altre parole, la 2FA aggiunge un livello di sicurezza in più al processo di login di un account, rendono più difficile l’accesso ai cyber criminali e agli utenti non autorizzati.

Oggi, la Two Factor Authentication rappresenta una delle più efficaci misure di sicurezza ed è uno strumento indispensabile per proteggere il gestore di identità, l’account di posta elettronica, gli account social e le transazioni collegate agli acquisti online.

Come funziona la 2FA?

In genere, la forma di autenticazione più diffusa prevede l’utilizzo della tradizionale combinazione “nome utente più password”, tuttavia proprio la password, anche se forte e univoca, può essere facilmente intercettata, rubata e compromessa. 

La verifica in due passaggi risolve il problema e, rispetto alle classiche credenziali di accesso, garantisce un elevato livello di protezione grazie all’uso di più fattori durante il processo di autenticazione. 

Tali fattori devono essere reciprocamente indipendenti (per evitare che la violazione di uno comprometta l’affidabilità dell’altro) e appartenere a categorie diverse (ciò significa che non è possibile utilizzare due elementi della stessa categoria) che sono:

  • Conoscenza: una cosa che l’utente conosce (ad esempio: una password o il PIN);
  • Possesso: una cosa che l’utente ha (ad esempio: uno smartphone o un token di sicurezza per l’home banking);
  • Inerenza: una cosa che l’utente è (ad esempio: l’impronta digitale, il timbro vocale, la retina o l’iride, o altri dati biometrici).

Come funziona l’autenticazione a due fattori? Dopo aver inserito il nome utente e il primo fattore di autenticazione, cioè la password, il sistema chiede all’utente di utilizzare un ulteriore fattore per avere accesso al proprio account. In genere, il secondo fattore più utilizzato appartiene alla categoria del “Possesso” ed è un codice numerico che l’utente riceve tramite sms oppure mediante l’utilizzo di un token di sicurezza.

La procedura di accesso al conto corrente è un classico esempio di autenticazione a due fattori è si basa sull’uso di un ID, una password e una One-time password (OTP), ossia una password usa e getta generata attraverso un token e valida solo per una singola sessione di accesso o una transazione.

L’autenticazione forte viene utilizzata in diversi contesti, incluso il settore bancario e dei servizi finanziari dove prende il nome di Strong Customer Authentication (SCA).

La SCA si applica nei casi di Cardholder Initiated Transactions (CIT), pagamenti online iniziati dal cliente (ad esempio: acquisti effettuati su un sito e-commerce), mentre non è prevista nei casi di Merchant Initiated Transactions (MIT), MO.TO., transazioni di importo inferiore a 30 euro, transazioni a basso rischio e Transazioni a beneficiari affidabili.

L’utilizzo della Strong Customer Authentication è stato ulteriormente rafforzato e reso obbligatorio dall’entrata in vigore della Direttiva (UE) 2015/2366 nota come PSD2 (Payment Services Directive 2).

Perché è importante utilizzare la Two Factor Authentication?

Secondo i dati presentati da Microsoft nel corso della RSA Conference 2020 su oltre 1,2 milioni di account violati nel primo mese del 2020 il 99,9% degli account non aveva attivato la 2FA.

Inoltre, solo nel primo trimestre del 2021, l’Osservatorio Cybersecurity di Exprivia, ha registrato 349 eventi tra attacchi, incidenti e violazioni della privacy, evidenziano una crescita sette volte superiore rispetto ai primi tre mesi del 2020. 

Il furto dei dati resta il maggior danno causato dai cyber criminali, con il 70% dei casi tra gennaio e marzo, seguito dalla sottrazione di denaro, in aumento del 40%, e dalle violazioni del dei dati personali. Tra le tecniche più usate dagli hacker ci sono il phishing-social engineering, con circa il 60% dei casi, i malware e le known vulnerabilities.

Alla luce di questi dati, l’autenticazione a due fattori è la misura di sicurezza più efficace per proteggere i propri account dalla minaccia del furto d’identità e contrastare gli attacchi di phishing con cui gli hacker cercano di ottenere informazioni sui dati sensibili degli utenti.