La strong authentication come misura necessaria per proteggere l’accesso del tuo account

La strong authentication come misura necessaria per proteggere l’accesso del tuo account

La strong authentication è la misura di sicurezza da adottare per tutti i tuoi account più importanti, non solo per quelli bancari (dove peraltro è obbligatoria).

La sola password, seppur forte e univoca, potrebbe essere rubata e quindi compromessa.

Sono frequenti i casi di violazione di siti (data breach) con il furto massivo di migliaia di password: in questi casi le password finiscono nel mercato nero del web e qualcuno potrebbe usarle per realizzare un Account Takeover (acquisizione dell’account).

Per questo ci viene in aiuto la Strong Authentication o autenticazione forte a due o più fattori, definita anche 2FA o MFA (Multi-Factor Authentication). Essa rappresenta la misura di sicurezza più importante per proteggere l’accesso ai tuoi account.

Oggi, tutti i siti importanti rendono disponibile la strong authentication, ma solo come opzione facoltativa; sarà l’utente a doverla attivare come opzione aggiuntiva.

Microsoft, nel corso della RSA Conference 2020, svoltasi a San Francisco nel febbraio dello stesso anno, ha evidenziato lo studio su oltre 1,2 milioni di account violati nel gennaio 2020: oltre il 99,9% di tali account non aveva l’autenticazione a più fattori.

Cos’è la strong authentication

Abbiamo spiegato quanto è importante l’autenticazione a più fattori per la nostra sicurezza, ma ora vediamo in che cosa consiste.

L’autenticazione può essere eseguita con modalità diverse che tipicamente sono le seguenti tre:

  • Conoscenza: ”Una cosa che sai”, per esempio una password o il PIN.
  • Possesso: ”Una cosa che hai”, come uno smartphone, una smartcard o un token di sicurezza.
  • Inerenza: ”Una cosa che sei”, cioè un dato biometrico, quale l’impronta digitale, il timbro vocale, il viso, l’iride.

Quando ci colleghiamo in un servizio informatico, come ad esempio un sito web, dobbiamo inserire username e password, dando quindi dimostrazione della nostra identità. Se non ci vengono richieste ulteriori dimostranze si parla di “autenticazione ad un fattore”.

Leggi anche:  Forcepoint annuncia la partnership con Telsy

Quando oltre alla password sono richiesti due o più dei fattori sopra elencati, si parla allora di “strong authentication”.

Ma, affinchè sia effettivamente una MFA, i fattori utilizzati devono essere generati attraverso due modalità differenti tra le tre possibili., non possono essere ad esempio due password (in quanto fattori della stessa natura).

Come attivare la strong authentication?

L’attivazione della MFA deve essere fatta una volta sola.

Spieghiamo come:

  1. Fare il login al sito ed entrare nella sezione “Impostazioni di Sicurezza”
  2. Selezionare l’opzione “autenticazione a due fattori”

Quasi sempre il primo fattore è la password, mentre il secondo fattore potrebbe essere un codice numerico che, a differenza della password, viene generato in maniera pseudocasuale secondo uno specifico algoritmo ed ha una durata molto limitata nel tempo (solitamente 30 secondi). Per questo motivo, lo si definisce anche OTP: “one time password”.

Il secondo fattore può essere:

  • di tipo biometrico (”una cosa che sei”), ad esempio la nostra impronta digitale o il riconoscimento facciale.
  • SMS che ci viene inviato sullo smartphone che abbiamo indicato come attendibile
  • Soft Token: sono applicazioni dedicate, che non richiedono la copertura telefonica e sono più sicure, perché legate non al numero di telefono, ma al dispositivo su cui sono installate. Alcuni esempi sono Authy, Google Authenticator e Microsoft Authenticator.
  • Token hardware: sono i token che stanno sostituendo quelli forniti dalle banche, ormai non più sicuri. I più semplici richiedono l’inserimento in una porta USB, quelli più avanzati operano anche con NFC (Near Field Communication) o via Bluetooth come i Titan Security Key di Google.

Come utilizzare la strong authentication?

La MFA oltre ad essere sicura, è anche facile da utilizzare.

Leggi anche:  Attacchi in aumento causati dal lavoro da remoto. Serve formare i dipendenti sulla cybersecurity

Ad ogni login, dopo aver inserito username e password, ci sarà richiesto il codice OTP a 6 cifre visualizzato dall’applicazione (o ricevuto via SMS) e che ogni 30 secondi verrà rigenerato.

Su molti siti è disponibile una comoda opzione chiamata solitamente: “considera questo dispositivo attendibile”. Se la attiviamo (una tantum), nei login successivi – solo se eseguiti da quel dispositivo – non verrà più richiesto il codice OTP. Continuerà a richiederlo, viceversa, se il login viene tentato da un dispositivo non riconosciuto come affidabile.