L’autenticazione a due fattori, lo strumento indispensabile per proteggere i nostri account

Le piattaforme, i social e i vari dispositivi che utilizziamo nella nostra vita quotidiana sono in perenne pericolo. Ci sono virus,  trojan, worm, spyware e malware che mettono a rischio quelle che, oramai, sono diventate delle vere e proprie casseforti che contengono i nostri dati sensibili, le nostre immagini, le nostre abitudini e i nostri comportamenti. In molti pensano che basti una sola password per sentirsi protetti e allontanare qualsiasi tipo di tentativo di “intrusione” digitale, ma con il passare del tempo – e con l’utilizzo sempre più invasivo di tutto ciò – l’affidare la propria sicurezza informatica a una sola stringa alfanumerica (e simbolica) non ha più quel grado di protezione di un tempo. Per questo motivo è nata l’autenticazione a due fattori che serve a rendere meno facile eventuali intromissioni esterne.

LEGGI ANCHE > Meta vuole rendere più facile il passaggio da Facebook a Instagram e viceversa

Questo strumento di doppia difesa della propria vita in formato digitale viene suggerito anche dalla Polizia Postale italiana che, oltretutto, sottolinea come la “strong authentication” – così viene definita nel vocabolario della cyber security – sia uno strumento fondamentale. E viene messa in parallelo, per rendere la protezione ancor più efficace, anche con la verifica in due passaggi (due facce della stessa medaglia, ma con dinamiche differenti):

«Per prevenire questi furti, è necessario adottare adeguati sistemi di protezione capaci di innalzare i livelli di sicurezza delle nostre “App” (applicazioni)come l’autenticazione “multifattoriale” che si distingue in autenticazione a due fattori e verifica in due passaggi. L’autenticazione di base prevede l’inserimento di un solo fattore, generalmente una password. L’autenticazione multifattoriale, invece, associa alla password un altro fattore di sicurezza che rende più difficile la violazione da parte di terzi. I fattori di autenticazione sono di tre tipi:

• Dati già conosciuti dall’utente (es. password o pin);
• Codici temporanei di volta in volta generati e ricevuti dall’utente, ad esempio, su smartphone o token;
• Elementi che identificano l’utente (es. impronta digitale o dati biometrici).

La verifica in due passaggi combina fattori appartenenti alla stessa categoria (es. password/pin). L’autenticazione a due fattori combina, al contrario, fattori di tipologia diversa (es. password/impronta digitale)».

Due strumenti che, dunque, servono per garantire maggior sicurezza, visto l’incalzare incessante di tentativi di furto dei dati digitali presenti nel nostro mondo digitale.

Autenticazione a due fattori, a cosa serve

Uno strumento indispensabile per la nostra sicurezza. Un doppio passaggio per proteggere la propria identità digitale. In origine, i primi a procedere con l’imposizione (perché non si trattò di un mero suggerimento) furono gli istituti bancari che operano online. Per accedere al proprio conto/profilo, infatti, è diventato necessario compiere una doppia autenticazione: la prima con user name e password, la seconda con l’inserimento di una password temporanea prodotta da un token (fisico o digitale) e che viene inviata sul supporto fornito dalla banca al cliente o sul numero di telefono registrato tramite sms (ma anche una notifica in app, come accade per altri sistemi di identificazione come lo Spid di Poste Italiane). Insomma, una doppia protezione per non consentire a eventuali malintenzionati di accedere in un account trovando la sola password o nome utente.

Autenticazione a due fattori: dai social alle altre piattaforme

Nel corso degli anni (e ancora oggi) leggiamo notizie di profili social hackerati e altre vicende simili. E proprio i social network, negli ultimi anni, sono passati dal suggerire l’utilizzo dell’autenticazione a due fattori al renderla obbligatoria. Non tutti, ma quasi. Perché il principio di base è sempre lo stesso: utilizzare una sola password semplice è un invito a nozze per chi – utilizzando strumenti informatici – è in grado di arrivare a individuare quella sequenza alfanumerica e il nome utente.

Per Instagram e Facebook

Alla fine del 2021, per esempio, Facebook obbligò quei profili ad alto rischio hacker a procedere con l’autenticazione a due fattori. E ha fornito a tutti (perché tutti possono procedere con questa modifica) le istruzioni per aumentare il proprio livello di sicurezza: «Se attivi l’autenticazione a due fattori, ti verrà richiesto di inserire uno speciale codice di accesso o di confermare il tentativo di accesso ogni volta che qualcuno prova ad accedere a Facebook con il tuo account da un browser o dispositivo mobile non riconosciuto. Puoi anche ricevere avvisi quando qualcuno prova a effettuare l’accesso con il tuo account da un browser o dispositivo mobile non riconosciuto».

Facendo parte dello stesso gruppo, anche per Instagram valgono le stesse regole: «Quando attivi l’autenticazione a due fattori, ti viene chiesto di scegliere tra l’invio di codici tramite SMS o un’app di autenticazione di terzi come metodo di sicurezza principale. Per generare codici di accesso che ci aiutano a verificare la tua identità quando accedi da un nuovo dispositivo per la prima volta è possibile usare un’app di autenticazione di terzi (come Duo Mobile o Google Authenticator)». Così come per Whatsapp.

Google

Ovviamente anche Google è sensibile al tema della sicurezza degli account di chi ha un profilo (praticamente necessario per utilizzare qualsiasi tipologia di servizio offerto) e ha chiesto a tutti gli utenti di non limitarsi alla sola password: «Dopo aver attivato la verifica in due passaggi, devi completare un secondo passaggio per verificare la tua identità al momento dell’accesso. Per proteggere meglio il tuo account, Google ti chiederà di completare un secondo passaggio specifico». E le procedure si snodano tra ricezione di un sms, una notifica in app sul proprio dispositivo o una classica mail in cui confermare se “sei proprio tu” ad aver effettuato l’accesso al tuo profilo.

Per i dispositivi Apple

Il principio, dunque, è lo stesso: sia per i social che per le altre piattaforme. E anche per gli account che permettono di utilizzare un particolare dispositivo. Nel suo essere differente dagli altri, anche Apple procede da anni con l’autenticazione a due fattori: «Quando vuoi accedere a un nuovo dispositivo per la prima volta, devi fornire due informazioni: la password e il codice di verifica a sei cifre che viene visualizzato automaticamente sui dispositivi registrati o che viene inviato al tuo numero di telefono. Immettendo il codice, confermi di aver autorizzato il nuovo dispositivo. Ad esempio, se disponi di un iPhone e accedi al tuo account per la prima volta da un Mac appena acquistato, ti verrà richiesto di immettere la password e il codice di verifica che viene visualizzato automaticamente sul tuo iPhone». Questo, dunque, vale per qualsiasi dispositivo realizzato e messo in commercio dall’azienda di Cupertino.

Ci sono delle falle?

Il sistema, dunque, sembra essere perfettamente funzionante e sicuro. Ma due ricercatori italiani – Franco Tommasi, Christian Catalano e Ivan Taurino – dell’Università del Salento nell’aprile del 2021, hanno scoperto una tecnica per “bucare” l’autenticazione a due fattori. Si tratta del browser-in-the-middle:

«L’idea alla base di BitM è quella di interporre un browser trasparente dannoso tra il browser della vittima e il server web a cui la vittima accede per ottenere un servizio (es. un servizio bancario, un social network, ecc.). Lo scopo dell’interposizione è quello di intercettare, registrare e manipolare qualsiasi scambio di dati tra la vittima e il prestatore di servizi».

La sicurezza, dunque, è al sicuro. Perché non è il principio stesso dell’autenticazione a due fattori a esser messo in dubbio, ma l’intervento esterno che può carpire i dati e, quindi, utilizzare anche le password una tantum per accedere a profili, piattaforme e conti bancari.