Autenticazione a due fattori: come proteggere i tuoi account
L’autenticazione a due fattori (2FA) è una procedura di sicurezza che garantisce l’accesso a un account oltre alla password tramite una seconda verifica dell’identità, ad esempio tramite un codice sullo smartphone. In questo modo, la protezione contro accessi non autorizzati è notevolmente aumentata, anche se la password finisce nelle mani sbagliate.
Che cos’è l’autenticazione a due fattori?
L’autenticazione a due fattori combina due componenti diversi e indipendenti l’uno dall’altro per l’identificazione di un utente autorizzato. Un semplice esempio di questa autenticazione a due fattori si attinge dalla quotidianità, quando ci troviamo allo sportello del bancomat o siamo in fila ad alcune casse dei supermercati. Infatti, per prelevare i soldi o pagare al supermercato sono sempre indispensabili due componenti: il PIN (o la firma) e una carta bancomat. Solo quando entrambi risultano corretti, l’autenticazione a due fattori è andata a buon fine. Lo stesso principio può essere applicato anche per la sicurezza degli account e-mail, dei negozi online o quelli dei grandi portali web.
Ma sul web, malauguratamente, una schiacciante maggioranza degli account viene ancora protetta con un solo componente: solitamente basta una password per il login in un account e-mail, nei servizi di archiviazione cloud o nei negozi online. Se gli hacker ne entrano in possesso, riescono ad avere velocemente accesso a e-mail, dati sensibili degli account e a file personali. Per impedirlo sempre più servizi come Dropbox, Google o Amazon hanno introdotto l’autenticazione a due fattori come misura di sicurezza aggiuntiva. Questo procedimento può variare, visto che i diversi componenti per un’autenticazione a due passaggi possono essere combinati.
Come funziona l’autenticazione a due fattori?
I componenti o fattori necessari per l’accesso possono essere molteplici. I fattori più importanti e più diffusi per una verifica in due passaggi sono:
- Token o tessere
- PIN (numeri di identificazione personali)
- TAN (numeri di transazione)
- Password
- Elementi biometrici (come l’impronta digitale, il riconoscimento vocale o l’identificazione tramite iride)
Tutti questi componenti per l’identificazione di una persona autorizzata prevedono il riconoscimento di qualcosa che conosce, possiede o che è inscindibilmente collegato alla sua presenza (“conoscere”, “possedere”, “essere”). L’esempio del bancomat dimostra che nella vita di tutti i giorni i token vengono combinati prevalentemente con uno degli altri fattori. Questo procedimento ha lo svantaggio notevole che anche le persone autorizzate devono sempre fare affidamento a un token, cosa che in momenti di distrazione può portare a inserire numeri errati e può quindi capitare che seppur autorizzati, non si riesca ugualmente ad avere accesso al servizio.
Per questo motivo nel World Wide Web vengono utilizzati sempre più autenticazioni a due fattori per l’identificazione di utenti autorizzati, che avvengono senza ricorrere ai classici token o che minimizzano almeno il rischio di perdita: solitamente, oltre a una password, viene generato dal sistema un codice automatico, conosciuto come One Time Password (OTP). La ricezione di questo OTP avviene sullo smartphone dell’utente autorizzato, per SMS, e-mail o tramite un’app speciale di autenticazione. Così ci si assicura che abbia accesso solo quella persona che è in possesso di questo codice di sicurezza aggiuntivo. Il vantaggio è che il codice è valido solo una volta e, anche se non viene usato, smette comunque di essere valido automaticamente dopo un certo periodo.
È possibile distinguere due principali tipi di password monouso: TOTP e HOTP. Le TOTP (Time-based One-Time Password) sono basate sul tempo e generano un nuovo codice ogni 30 secondi, indipendentemente dal fatto che sia stato utilizzato o meno. Le HOTP (HMAC-based One-Time Password), invece, sono basate su contatori e generano un nuovo codice su richiesta, che rimane valido fino a quando non viene utilizzato.
Inoltre, l’autenticazione a due fattori senza token o tessera consente di poter stabilire anche dei metodi di ricezione secondari per il codice di sicurezza: se non è ad esempio possibile l’accesso all’app, si può decidere che venga inviato alternativamente un SMS o che l’utente autorizzato riceva una chiamata con una voce automatica che gli riveli il codice.
Perché è importante un’autenticazione a due fattori?
Si sa che non è possibile garantire la sicurezza di un account al cento per cento e quindi perché si dovrebbe fare lo sforzo di impostare un’autenticazione a due fattori? La risposta è a portata di mano: la verifica in due passaggi (2FA) aggiunge al processo di identificazione un livello aggiuntivo, in un certo senso un secondo ostacolo che gli utenti non autorizzati devono riuscire a superare. Inoltre, è da tenere in considerazione che quasi tutti i classici attacchi di phishing falliscono in presenza di un’autenticazione a due fattori.
I numeri della criminalità informatica sono in costante aumento. In particolare, sempre più persone e aziende sono bersagli mirati degli attacchi di phishing già menzionati, ma anche del furto d’identità e del controllo non autorizzato degli account. Gli hacker spesso utilizzano credenziali rubate o password poco sicure per ottenere informazioni sensibili. È qui che entra in gioco l’autenticazione a due fattori offrendo un ulteriore livello di sicurezza che rende molto più difficile accedere a un account, anche se si conosce la password. Insieme a una password sicura, la 2FA non è quindi solo un optional, ma una protezione indispensabile contro il furto d’identità e altri crimini informatici.
Quali sono gli svantaggi dell’autenticazione a due fattori?
Un’elevata sicurezza tramite un’autenticazione a due fattori porta con sé prevalentemente dei vantaggi. Tuttavia, se si è degli utenti sbadati o in caso di crash di sistema sussiste il rischio di venir bloccati, quindi la verifica in due passaggi comporta un secondo ostacolo non solo per i potenziali hacker, ma talvolta anche per gli utenti autorizzati. Visto che l’autenticazione a due fattori per la protezione degli account è composta in genere da una combinazione dei concetti nominati prima, “Conoscere” (password, ecc.) e “Possedere” (il cellulare al quale viene inviato il codice di sicurezza), la perdita dello smartphone porta, ad esempio, l’utente autorizzato a non aver accesso al suo account per un certo periodo. Non si possono neanche escludere completamente problemi tecnici con le app di autenticazione.
Per casi simili la maggior parte dei servizi mettono però a disposizione un’opzione di ripristino, ad esempio dando la possibilità di fornire un altro numero al quale deve essere inviato alternativamente il codice di autenticazione. Viene anche richiesto di appuntarsi o stampare dei codici o di inserire altri indirizzi e-mail sostitutivi per consentire l’accesso all’account in situazioni di emergenza. Così questo apparente svantaggio viene minimizzato. Al momento dell’impostazione di questo procedimento, si dovrebbe solo fare attenzione di aver anche preso in considerazione tutte le misure di sicurezza, a patto che rimangano opzionali e non obbligatorie, e documentare accuratamente come comportarsi in caso di un accesso di emergenza. Così si riduce notevolmente il rischio di rimanere bloccati.
- Protezione antivirus
- Backup automatici e recupero dei file persi
Quali sono i metodi e gli strumenti 2FA?
Esistono diversi metodi e strumenti per implementare l’autenticazione a due fattori (2FA). Una delle varianti più comuni è l’uso di un’app di autenticazione, che genera password monouso basate sul tempo (TOTP). Queste app funzionano anche senza connessione internet e offrono un buon equilibrio tra sicurezza e facilità d’uso.
Un altro metodo è la verifica tramite SMS, con il quale un codice viene inviato al telefono cellulare. Questa modalità, sebbene comoda, è considerata meno sicura, poiché gli SMS possono essere intercettati o reindirizzati. I token hardware, come chiavi di sicurezza USB, rappresentano un’opzione molto sicura, anche se più costosa e meno user-friendly. Alcuni servizi offrono inoltre notifiche push, con cui gli utenti devono confermare attivamente un tentativo di accesso sullo smartphone. La scelta del metodo dipende spesso dal livello di sicurezza desiderato e dalla tecnologia disponibile. In generale vale la regola che più il secondo fattore è diverso dalla password, più sicura sarà la procedura.
Di seguito trovi una lista delle app di autenticazione più comuni e utilizzate:
- Google Authenticator
- Microsoft Authenticator
- Authy
- FreeOTP
- LastPass Authenticator
E-mail IONOS: configurare l’autenticazione a due fattori
Per configurare la 2FA per il tuo account E-mail IONOS, hai a disposizione due opzioni comode: tramite una classica app di autenticazione oppure direttamente dall’app mobile di IONOS.
Configurazione con un’app di autenticazione
Bastano pochi passaggi per configurare un’app di autenticazione per il tuo account E-mail IONOS:
- Scarica una delle app di autenticazione elencate qui o un’altra a tua scelta sul tuo smartphone.
- Accedi quindi al tuo account IONOS tramite il browser web.
- Vai su “Il mio account” > “Accesso e sicurezza dell’account” > “Configura la verifica a due fasi (autenticazione a due fattori)” e seleziona l’opzione per la configurazione tramite app di autenticazione.
- Scansiona il codice QR visualizzato con l’app.
- Inserisci successivamente il codice a 6 cifre generato per confermare.
Ora la 2FA è attivata in modo permanente per il tuo account.
Configurazione tramite l’app mobile di IONOS
In alternativa, puoi utilizzare l’app mobile ufficiale di IONOS, disponibile per Android e iOS. Una volta completata la configurazione, riceverai una notifica push sul tuo smartphone per autorizzare ogni accesso al tuo account IONOS. Una guida dettagliata è disponibile nel Centro Assistenza IONOS.
IONOS offre Microsoft 365 e Google Workspace con autenticazione a due fattori integrata, garantendo una comunicazione sicura e conforme al GDPR nella tua azienda.