Proteggiamo i nostri dati con l’autenticazione a due fattori

2FA

L'autenticazione a due fattori, nota anche con il termine 2FA (two-factors authentication), è una tecnica che si pone l'obiettivo di incrementare il livello di protezione dei dati sensibili e personali. Vediamo in questo articolo in cosa consiste questa tecnica, adottata dai più diffusi social network e gruppi di utenti (ricordiamo, tra gli altri, Facebook, Twitter, e Google), suggerendo anche qualche piccolo accorgimento per poterne sfruttare appieno l'efficacia.

La diffusione capillare dell'utilizzo di internet, che ha avvicinato a questa tecnologia utenti di tutte le età e di tutte le estrazioni socio-culturali, ha portato in primo piano il problema della sicurezza, rafforzato anche dalla crescita continua dei reati di tipo informatico, le violazioni di account personali, il furto di dati sensibili, e le frodi perpretate con mezzi informatici. Più o meno tutti noi abbiamo perciò acquistato familiarità e sensibilità verso termini come sicurezza online, login, username, password, accesso protetto, e così via. Non tutti, tuttavia, sappiamo cosa significa "autenticazione a due fattori" e cosa si nasconde dietro questo termine. In realtà, probabilmente, molti tra noi la stanno già utilizzando tutti i giorni.

Vediamo allora di fare un pò di luce su questo concetto. Anzitutto occorre dire che la maggiorparte delle procedure di sicurezza standard adottate online si basano tuttora sull'utilizzo di una semplice procedura di login (username e password). Chiaramente questa procedura si presta ad essere "attaccata" dai criminali informatici (siano essi organizzati in gruppi oppure agendo singolarmente), che possono cercare di ottenere l'accesso ai dati privati degli utenti (ad esempio dati personali e/o dati relativi a conti bancari o carte di credito) e utilizzarli poi per perpretare azioni fraudolente, solitamente di natura finanziaria.

Qual'è allora la differenza tra una procedura standard e la 2FA? La 2FA è in sostanza un livello aggiuntivo di sicurezza (il quale fa a sua volta parte del sistema, più generale, di autenticazione a fattori multipli), il quale richiede per l'accesso non soltanto la username e la password, ma anche qualcos'altro che l'utente, e soltanto l'utente, conosce o di cui può disporre. Questa tecnica, per quanto semplice nella sua forma, si è dimostrata particolarmente efficace: l'utilizzo di username e password unite a un'informazione che soltanto l'utente conosce, rende estremamente difficoltoso l'accesso ai dati personali da parte di potenziali intrusi.

Dal punto di vista storico, la 2FA non è un concetto nuovo in assoluto, ma è praticamente rimasta inutilizzata sino all'avvento dell'era digitale, cioè la realtà in cui viviamo oggi. Tra i primi internet player ad aver adottato la tecnologia 2FA per l'autenticazione online dei propri utenti ricordiamo Google (cha l'ha introdotta nel febbraio 2011), seguita poi da MSN, Yahoo, e via via da tutti gli altri (Twitter, Facebook, Amazon, Paypal, ecc.).

L'autenticazione a due fattori è stata inoltre utilizzata efficacemente da diversi istituti bancari, con lo scopo di proteggere e tutelare l'accesso dei propri clienti ai servizi di home banking e, più in generale, ai servizi disponibili online. In questo contesto si utilizzano solitamente dei piccoli dispositivi hardware basati sulla tecnica OTP (One Time Password). Con ciò si intende che il dispositivo hardware è in grado di generare un nuovo codice (tipicamente di 6 cifre) il quale può essere utilizzato una e una sola volta per l'accesso. Per ogni accesso o richiesta di autenticazione dal sistema è, perciò, necessario fornire un nuovo codice, generato automaticamente dal dispositivo. Questo sistema riduce drasticamente il rischio di accesso non autorizzato o di furto d'identità su internet, in quanto i malintenzionati dovrebbero conoscere non soltanto la username e la password ma anche il codice valido in quel momento. Questo procedimento ben si adatta ai servizi bancari via internet o via cellulare, in quanto i vantaggi derivanti dall'utilizzo di un dispositivo hardware superano di gran lunga gli svantaggi (possibile smarrimento, furto, guasto o danneggiamento). L'immagine seguente mostra un tipico esempio di dispositivo hardware operante con la tecnologia OTP (questi particolari tipi di chiavette vengono anche definiti con il termine inglese "token"):

Spostandoci invece su altri tipi di realtà quali i social network, oppure vere e proprie "piattaforme" di applicazioni quali Google, diventa più conveniente utilizzare qualche altro sistema per implementare la 2FA. Quali?

Come vedremo, esistono diverse forme per attuare la 2FA. Ad esempio si può utilizzare la tecnologia SMS, oggi disponibile praticamente alla totalità degli utenti a cui può interessare la tecnologia 2FA. Il concetto è molto semplice: chiunque acceda a internet possiede oggi un cellulare con funzionalità SMS (è sufficiente un modello tradizionale, non occorre avere uno smartphone), ed il cellulare diventa in questo caso il "dispositivo hardware" in grado di supportare la tecnica 2FA. Un altro esempio significativo di applicazione della tecnica 2FA è rappresentato dal settore dei videogiochi online, che ha visto una crescita significativa (esso rappresenta oggi uno dei maggiori volumi di traffico su internet) sia nel numero di utenti iscritti che nel numero di piattaforme hardware supportate. Dopo questa "succosa" introduzione, vediamo più in dettaglio alcuni concetti, partendo anzitutto dalla differenza tra 2FA e 1FA (autenticazione a un fattore).

Autenticazione a un fattore

Immaginiamo, per un attimo, le azioni compiute da una comune persona che esce di casa al mattino per recarsi al proprio posto di lavoro. Anzitutto prenderà con sè tutto l'occorrente per la giornata (a seconda dei particolari gusti e delle specifiche esigenze si tratterà di: borsa, occhiali, cappello, ombrello), dopodichè uscirà di casa e chiuderà a chiave la porta. Chiave? Ebbene sì, la chiave in questione è proprio un classico esempio di autenticazione a un fattore. Alla serratura della nostra porta di casa non interessa (purtroppo) se chi inserisce la chiave è una persona fidata (noi stessi, un nostro familiare oppure un amico intimo): inesorabilmente, puntuale come un orologio svizzero, la serratura si sbloccherà ogni volta che verrà utilizzata la nostra chiave di casa. Il paragone è un pò forzato (per proteggere la sicurezza di una casa è in genere sufficiente avere una buona porta e una buona serratura), però il messaggio è chiaro: l'autenticazione a un fattore, da sola, non è sufficiente a impedire accessi da parte di malintenzionati (basta avere la chiave giusta). Lo stesso concetto è però applicabile al caso di accesso ai siti in cui viene richiesto il login tramite le sole username e password. Basta in questo caso conoscere username e password e l'accesso verrà eseguito, da noi come da chiunque altro conosca queste informazioni. Fino a che nessuno sarà in grado di rubare o di impossessarsi in modo fraudolento delle nostre chiavi di accesso, tutto andrà per il verso giusto, potremo dormire sonni tranquilli e non avere grosse preoccupazioni. Ma se ciò avvenisse, se ad esempio una falla in qualche sistema o banca dati online provocasse una perdita di dati e informazioni di accesso? Questa possibilità non è poi così tanto remota come sembra. Più in generale, possiamo dire che siamo disposti a correre questo rischio se e soltanto se i potenziali danni derivanti dalla perdita dei dati di autenticazione sono trascurabili. Raramente ciò avviene, per cui è necessario cominciare a pensare nell'ottica della 2FA.

Autenticazione a due fattori

Tornando al paragone della porta di casa, possiamo senz'altro affermare che il livello di sicurezza sarebbe notevolmente incrementato se, oltre alla comune chiave, fossero richiesti altri fattori per l'autenticazione: ad esempio le impronte digitali oppure, perchè no, la scansione dell'iride. Già con due fattori (chiave + impronte digitali o scansione dell'iride) saremmo in grado di tenere lontani i malintenzionati (tralasciamo, per semplicità, eventuali espedienti tratti dalle saghe cinematografiche "Mission impossible" e "007").

La tecnica 2FA, più in generale, richiede l'utilizzo di almeno 2 fra 3 variabili di autenticazione quali:

  • qualcosa che l'utente conosce - ad esempio il codice PIN di una carta bancomat, oppure un indirizzo email;
  • qualcosa che l'utente possiede - fisicamente, la stessa carta bancomat oppure un altro dispositivo per l'autenticazione;
  • qualche caratteristica fisica propria dell'utente - le impronte digitali, la struttura dell'iride, ecc.

Il caso del bancomat è il più classico esempio di utilizzo della 2FA. Non è infatti sufficiente conoscere il PIN se non si possiede fisicamente la carta, come pure non è altrettanto sufficiente avere fisicamente la carta se non si conosce il suo PIN: per utilizzare il bancomat (autenticarsi sul sistema bancario) è infatti necessario disporre di entrambi i fattori nello stesso tempo. Altro esempio è quello citato precedentemente, relativo ai sistemi di generazione dei codici per i sistemi bancari online (o-key e similari), dove i codici vengono generati ogni X secondi e possono essere utilizzati una sola volta. Altre aziende, invece di fornire all'utente un proprio dispositivo hardware, utilizzano delle applicazioni per smartphone (o il sistema SMS stesso) per generare i codici corrispondenti al "secondo fattore". Recentemente, qualcosa si sta muovendo anche nel ricorso ai sistemi biometrici, impiegando le impronte digitali come ulteriore fattore per l'autenticazione.

Quando andrebbe utilizzata la 2FA?

Come già accennato in precedenza, la regola è quella comune del buon senso o, se si preferisce, quando il gioco vale la candela. Se ad esempio dovessimo proteggere l'accesso a un forum di appassionati e giocatori dilettanti di canasta (privo di link a indirizzi email, dati personali o coordinate bancarie), un'autenticazione tradizionale a un fattore sarebbe la scelta più conveniente; forzare la mano ricorrendo a una tecnica 2FA sarebbe eccessivo. Se, invece, dovessiamo proteggere il nostro account di posta elettronica o (se l'abbiamo) il nostro servizio di home banking, faremmo senz'altro bene a utilizzare (almeno) la 2FA.

Vestiamo per un attimo i panni di un appassionato di giochi online: abbiamo sudato per lunghi giorni (spesso intere notti) per creare, fare evolvere, perfezionare, il nostro personaggio. Cosa esiste di più terrificante se non il dramma di vedere compromessa tutta questa fatica a causa di un furto delle nostre credenziali di accesso? Non è un caso se un gioco come Diablo III ha optato per un'autenticazione di tipo 2FA. Blizzard, la società che ha fatto nascere giochi famosi come Diablo e World of Warcraft, utilizza infatti un sistema di autenticazione free con supporto per la 2FA.

Esempi di 2FA

Oltre al caso di Blizzard Entertainment, citato in precedenza, numerosi sono i casi "famosi" di utilizzo della 2FA. Partiamo anzitutto da Google, che vanta un considerevole numero di utenti iscritti al servizio di posta elettronica gmail e ad altri suoi servizi. Google offre un'autenticazione a due fattori basata sia sul servizio SMS sia su un'apposita app per dispositivi mobile. Su google.it, il sistema viene chiamato "verifica in due passaggi" (il nome cambia, ma il concetto è lo stesso). Google elenca anzitutto i comportamenti comuni che potrebbero mettere a rischio la nostra password, quali, ad esempio:

  • utilizzare la stessa password per più di un sito;
  • scaricare software da Internet;
  • cliccare sui link presenti nei messaggi email.

La verifica in due passaggi permette di tenere lontani i malintenzionati, anche se essi sono entrati in possesso della nostra password. Per configurare su Google la verifica in due passaggi occorre anzitutto andare a questo indirizzo. Le pagine che compariranno accedendo a questo link sono ben organizzate e facilmente comprensibili, quindi non ci soffermeremo su questo aspetto. E' sufficiente tuttavia ricordare che il funzionamento consiste in questi passi principali:

  • inserimento "tradizionale" dello username e password dell'account utilizzato su Google;
  • inserimento del codice ricevuto tramite un apposito SMS inviato da Google (il nostro numero di cellulare sarà stato inserito precedentemente nel nostro profilo). In alternativa all'SMS si può optare per la chiamata telefonica oppure utilizzare direttamente l'app per smartphone o tablet;
  • durante l'accesso possiamo inoltre chiedere di non dover più inserire il codice per i successivi accessi eseguiti dallo stesso computer.

Facebook mette a disposizione degli utenti un sistema del tutto analogo, basato sull'invio del codice di sicurezza tramite SMS oppure apposita app (maggiori dettagli sono disponibili a questo indirizzo).

Infine, sia Amazon sia Paypal hanno entrambe disponibili l'accesso tramite 2FA, con codici generati sia tramite dispositivi hardware che tramite app.

Conclusioni

Abbiamo visto in questo articolo in cosa consiste la tecnica di autenticazione a due fattori e quale importanza rivesta nella protezione dei dati sensibili. L'approccio ideale da seguire sarebbe quello di utilizzare questa tecnica in tutti i servizi online in cui è resa disponibile, non soltanto dove essa è un requisito obbligatorio (ad esempio nel caso dei servizi bancari). Anche se la 2FA non è teoricamente invulnerabile agli attacchi, essa è definitivamente più sicura del basarsi su una normale password, per quanto "strong" essa possa essere.

E voi cosa ne pensate? Avete avuto esperienze o attivato l'opzione 2FA su siti come Facebook, Twitter, o Google? La ritenete una procedura utile o la considerate troppo invasiva?

 

Quello che hai appena letto è un Articolo Premium reso disponibile affinché potessi valutare la qualità dei nostri contenuti!

 

Gli Articoli Tecnici Premium sono infatti riservati agli abbonati e vengono raccolti mensilmente nella nostra rivista digitale EOS-Book in PDF, ePub e mobi.
volantino eos-book1
Vorresti accedere a tutti gli altri Articoli Premium e fare il download degli EOS-Book? Allora valuta la possibilità di sottoscrivere un abbonamento a partire da € 2,95!
Scopri di più

11 Comments

  1. Tiziano.Pigliacelli Tiziano.Pigliacelli 17 ottobre 2013
  2. Piero Boccadoro Piero Boccadoro 17 ottobre 2013
  3. Piero Boccadoro Piero Boccadoro 17 ottobre 2013
  4. Tiziano.Pigliacelli Tiziano.Pigliacelli 17 ottobre 2013
  5. Tiziano.Pigliacelli Tiziano.Pigliacelli 17 ottobre 2013
  6. IvanScordato Ivan Scordato 17 ottobre 2013
  7. Piero Boccadoro Piero Boccadoro 17 ottobre 2013
  8. IvanScordato Ivan Scordato 17 ottobre 2013
  9. Tiziano.Pigliacelli Tiziano.Pigliacelli 21 ottobre 2013
  10. IvanScordato Ivan Scordato 21 ottobre 2013
  11. IvanScordato Ivan Scordato 4 dicembre 2013

Leave a Reply