Gli utenti forniscono due fattori di autenticazione distinti nell’ambito della ormai nota procedura di sicurezza chiamata autenticazione a due fattori (2FA), conosciuta anche come verifica in due passaggi o autenticazione a due fattori.
Le credenziali di un utente e le risorse a cui può accedere sono protette in modo più sicuro con l’uso dell’autenticazione a due fattori (2FA). Ma di cosa si tratta e come utilizzarla nel modo corretto per la nostra sicurezza online?
Rispetto alle tecniche di autenticazione che si basano sull’autenticazione a singolo fattore (SFA), in cui l’utente fornisce un solo elemento, solitamente una password o un codice di accesso, l’autenticazione a due fattori (2FA) offre un livello di sicurezza migliore.
Per utilizzare l’autenticazione a due fattori, l’utente deve fornire una password come primo fattore e un altro elemento distinto, spesso un token di sicurezza o un fattore biometrico come l’impronta digitale o la scansione del volto.
Rendendo più difficile per gli aggressori l’accesso ai dispositivi o agli account online di una persona, l’autenticazione a due fattori fornisce un ulteriore livello di protezione al processo di autenticazione. Infatti, anche se la password della vittima è compromessa, la sola password non sarà sufficiente a superare il controllo di autenticazione.
L’uso dell’autenticazione a due fattori (2FA) per limitare l’accesso a sistemi e dati riservati non è una novità. I fornitori di servizi online utilizzano sempre più spesso la 2FA per impedire agli hacker di utilizzare le credenziali degli utenti dopo aver rubato un database di password o averle ottenute tramite truffe di phishing.
Table of Contents
Quali sono i fattori di autenticazione usati nella 2FA
Una persona può essere verificata in vari modi, utilizzando diverse tecniche di autenticazione. La maggior parte delle tecniche di autenticazione attualmente in uso si basa su fattori di conoscenza, come la password tradizionale, mentre le tecniche di autenticazione a due fattori includono anche un elemento di possesso o una componente di eredità.
Ecco un elenco di elementi di autenticazione in una sequenza approssimativamente cronologica di adozione informatica:
- Un fattore di conoscenza è qualsiasi cosa di cui l’utente è a conoscenza, come un segreto condiviso, una password o un numero di identificazione personale (PIN).
- Per autorizzare le richieste di autenticazione, un fattore di possesso è qualcosa che l’utente possiede, come una carta d’identità, un token di sicurezza, un cellulare, un dispositivo mobile o un’applicazione per smartphone.
- Un fattore biometrico, talvolta definito fattore di ereditarietà, è una caratteristica presente fisicamente in ogni persona. Potrebbe trattarsi di tratti fisici abbinati a tratti personali, come le impronte digitali verificate da un lettore di impronte digitali. La biometria comportamentale, come la dinamica della tastiera, l’andatura o i modelli vocali, nonché il riconoscimento facciale e vocale sono ulteriori elementi di ereditarietà che vengono spesso sfruttati.
- Il luogo da cui viene effettuato un tentativo di autenticazione indica spesso un fattore di localizzazione. Questo può essere imposto limitando i tentativi di autenticazione a particolari dispositivi in un luogo specifico o tracciando l’origine geografica di un tentativo di autenticazione utilizzando l’indirizzo del protocollo Internet di origine o altri dati di geolocalizzazione, come i dati del Global Positioning System (GPS), ricavati dal telefono cellulare o da un altro dispositivo dell’utente.
- Un vincolo temporale limita l’accesso al sistema al di fuori di un intervallo di tempo predeterminato e limita l’autenticazione dell’utente a tale finestra.
Sebbene i sistemi che richiedono una maggiore sicurezza possano utilizzarli per implementare l’autenticazione a più fattori (MFA), che può contare su due o più credenziali separate per un’autenticazione più sicura, la maggior parte delle tecniche di autenticazione a due fattori si basa ancora sui primi tre fattori di autenticazione.
Come funziona l’autenticazione a due fattori (2FA)
A seconda dell’applicazione o del fornitore, possono essere disponibili diverse opzioni di autenticazione a due fattori. Tuttavia, la procedura generale a più fasi per l’autenticazione a due fattori è la stessa:
- Il programma o il sito web chiede all’utente di effettuare il login.
- L’utente inserisce ciò che conosce bene, spesso login e password. Il server del sito web trova una corrispondenza e riconosce l’utente.
- Il sito web crea una chiave di sicurezza speciale solo per l’utente, per le procedure in cui non è necessaria la password.
- La chiave viene elaborata dal meccanismo di autenticazione e verificata dal server del sito web.
- L’utente viene quindi invitato dal sito web ad avviare il secondo processo di login.
- L’utente deve dimostrare di essere in possesso di qualcosa che solo lui potrebbe possedere, come un dato biometrico, un token di sicurezza, una carta d’identità, uno smartphone o un altro dispositivo mobile, ma questo passaggio può assumere diverse forme. Questo è il fattore possesso o legacy.
- Successivamente, all’utente potrebbe essere richiesto di inserire un codice monouso prodotto al punto
- Dopo aver fornito i due fattori, l’utente viene autenticato e ottiene l’accesso all’applicazione o al sito web.
Quali sono i componenti dell’autenticazione a due fattori (2FA)
L’MFA viene utilizzato sotto forma di autenticazione a due fattori. Tecnicamente è in uso ogni volta che l’accesso a un sistema o a un servizio prevede l’utilizzo di due fattori di autenticazione. Tuttavia, l’utilizzo di due fattori dello stesso gruppo non si qualifica come autenticazione a due fattori (2FA).
Ad esempio, la richiesta di una password e di un segreto condiviso è ancora considerata SFA, poiché entrambi i fattori rientrano nella categoria dell’autenticazione basata sulla conoscenza.
Due dei tre possibili fattori di autenticazione sono utilizzati nella 2FA.
I nomi utente e le password non sono il metodo di autenticazione più sicuro per i servizi SFA. L’autenticazione basata su password ha lo svantaggio di richiedere abilità e attenzione nel generare e ricordare password sicure. Le password devono essere protette da una serie di rischi interni, tra cui l’archiviazione approssimativa di foglietti adesivi con le informazioni di accesso, dischi rigidi obsoleti e stratagemmi di ingegneria sociale. Le password sono anche vulnerabili alle minacce esterne, come gli attacchi degli hacker che utilizzano tecniche di dizionario o di Brute Force.
In genere, un aggressore può superare le misure di sicurezza basate sulle password e appropriarsi dei dati aziendali se dispone di tempo e risorse sufficienti. Grazie al loro basso costo, alla semplicità d’uso e alla familiarità, le password continuano a essere il metodo SFA più utilizzato.
A seconda di come vengono utilizzate, le domande a risposta multipla possono aggiungere ulteriore sicurezza e anche le tecniche di verifica biometrica separate possono rendere più sicuro lo SFA.
Quali sono le categorie di prodotti che utilizzano l’autenticazione a due fattori (2FA)
Per abilitare l’autenticazione a due fattori (2FA) sono disponibili token, schede RFID, applicazioni per smartphone e altri dispositivi e servizi.
Esistono due tipi di prodotti per l’autenticazione a due fattori:
- token forniti dall’utente da utilizzare per l’accesso
- 2 infrastrutture o software in grado di identificare e verificare l’accesso degli utenti che utilizzano in modo appropriato i loro token.
I portachiavi e le smart card sono esempi di token di autenticazione fisici. I token di autenticazione software includono programmi desktop e mobili che generano numeri PIN per l’autenticazione. Queste one-time password (OTP), note anche come codici di autenticazione, sono spesso prodotte da un server e possono essere verificate come autentiche da uno strumento o da un’applicazione di autenticazione. Il codice di autenticazione è una breve stringa associata a un determinato dispositivo, utente o account e può essere utilizzata una sola volta durante la procedura di autenticazione.
Per accettare, elaborare e fornire o limitare l’accesso agli utenti che si autenticano con i loro token, le organizzazioni devono implementare un sistema. Questo può essere offerto come servizio da un fornitore terzo o implementato come software per server o un server hardware dedicato.
Assicurarsi che l’utente verificato abbia accesso a tutte le risorse per cui è autorizzato e solo a quelle è una componente cruciale della 2FA. Il collegamento del sistema di autenticazione con i dati di autenticazione dell’organizzazione è quindi uno degli scopi principali della 2FA. Grazie a Windows Hello, che funziona con gli account Microsoft e può autenticare gli utenti tramite Microsoft Active Directory, Azure AD o Fast IDentity Online (FIDO), Microsoft offre parte dell’infrastruttura necessaria alle aziende per implementare la 2FA in Windows 10.
Come funzionano i token hardware 2FA
Esistono token hardware per 2FA che supportano diversi metodi di autenticazione. YubiKey, un dispositivo USB compatto che supporta OTP, crittografia e autenticazione a chiave pubblica e il protocollo Universal 2nd Factor creato da FIDO Alliance, è un token hardware molto conosciuto. L’azienda Yubico Inc. con sede a Palo Alto, in California, vende i token YubiKey.
Gli utenti che possiedono una YubiKey la inseriscono nella porta USB del proprio dispositivo, inseriscono la propria password, fanno clic sulla casella YubiKey e premono il pulsante YubiKey per accedere a un servizio online che accetta OTP, come Gmail, GitHub o WordPress. Un OTP viene generato da YubiKey e inserito nel campo.
La one-time password (OTP) è lunga 44 caratteri, di cui i primi 12 servono come ID speciale per la chiave di sicurezza associata all’account. I restanti 32 caratteri sono informazioni crittografate con una chiave creata durante il processo.
Le app che abilitano la 2FA sono disponibili per Apple iOS, Google Android e Windows 10 e consentono di utilizzare il telefono stesso come dispositivo fisico per soddisfare il requisito del possesso. Una tecnologia di Duo Security, con sede ad Ann Arbour, Michigan, acquisita da Cisco nel 2018 per 2,35 miliardi di dollari, consente agli utenti di utilizzare dispositivi affidabili per l’autenticazione a due fattori. Prima di confermare che un dispositivo mobile può essere considerato un fattore di autenticazione, il software di Duo dimostra che l’utente è affidabile.
L’uso delle applicazioni di autenticazione elimina la necessità di inviare messaggi di testo, telefonate o e-mail per ottenere un codice di verifica. Gli utenti devono fornire il proprio login e la propria password – un fattore di conoscenza – per accedere a un sito web o a un servizio basato sul web che supporta Google Authenticator, ad esempio. Il passo successivo chiede agli utenti di inserire un numero di sei cifre. Un autenticatore crea il numero per loro, invece di farli aspettare qualche secondo per ricevere un messaggio SMS. Queste cifre sono uniche per ogni accesso e vengono aggiornate ogni 30 secondi. Gli utenti completano la procedura di verifica e dimostrano di possedere il dispositivo giusto – un fattore di proprietà – inserendo il numero giusto.
Questi e altri prodotti 2FA forniscono informazioni sui requisiti minimi di sistema necessari per implementare la 2FA.
Sui dispositivi mobili, l’opzione dell’autenticazione biometrica è diventata sempre più popolare.
Notifiche push 2FA
L’autenticazione senza password tramite notifiche push avvisa l’utente che è in corso un tentativo di autenticazione, inviando una notifica direttamente a un’app sicura sullo smartphone dell’utente. L’utente può spesso consentire o rifiutare l’accesso con un solo passaggio dopo aver visualizzato le specifiche del tentativo di autenticazione. Il server riceve la richiesta di autenticazione e registra l’utente nell’applicazione web se l’utente la concede.
Convalidando che l’utente è in possesso del dispositivo registrato con il sistema di autenticazione, che spesso è un dispositivo mobile, le notifiche push autenticano l’utente. Le notifiche push sono compromesse se un aggressore prende il controllo del dispositivo. Le minacce, tra cui gli assalti man-in-the-middle, gli accessi non autorizzati e i tentativi di social engineering, sono eliminati dalle notifiche push.
Anche se le notifiche push sono più sicure di altri tipi di tecniche di autenticazione, esistono comunque dei pericoli per la sicurezza. Essendo abituati a premere su approva quando ricevono le notifiche push, gli utenti possono autorizzare involontariamente una falsa richiesta di autenticazione.
Quanto è sicura l’autenticazione a due fattori (2FA)
L’autenticazione a due fattori aumenta la sicurezza, anche se i sistemi 2FA sono sicuri solo quanto il loro elemento più debole. I token hardware, ad esempio, sono soggetti alla sicurezza dell’emittente o del produttore. Nel 2011, l’azienda di sicurezza RSA Security ha rivelato che i suoi token di autenticazione SecurID erano stati compromessi, diventando uno dei casi più noti di sistema a due fattori compromesso.
Poiché spesso modifica la password corrente dell’utente e fornisce una password temporanea per consentire all’utente di accedere nuovamente eludendo l’autenticazione a due fattori, il processo di recupero dell’account stesso può essere compromesso. Questo metodo è stato utilizzato per violare gli account Gmail aziendali dell’amministratore delegato di Cloudflare.
Sebbene l’autenticazione a due fattori (2FA) basata su SMS sia conveniente, semplice da configurare e considerata di facile utilizzo, è aperta a una serie di attacchi. Nella sua pubblicazione speciale 800-63-3: Digital Identity Guidelines, il National Institute of Standards and Technology (NIST) sconsiglia l’uso degli SMS nei servizi 2FA. A causa degli attacchi alla portabilità del numero di cellulare, degli attacchi alla rete di telefonia mobile e del malware che può essere utilizzato per intercettare o reindirizzare i messaggi di testo, il NIST è giunto alla conclusione che gli OTP forniti tramite SMS sono troppo insicuri.
Prospettive per l’autenticazione
L’autenticazioene a tre fattori (3FA)
L’autenticazione a tre fattori, che spesso richiede il possesso di un token fisico e di una password utilizzata insieme a dati biometrici, come le scansioni delle impronte digitali o le impronte vocali, può essere utile in ambienti che richiedono una maggiore sicurezza.
Per decidere se un utente debba essere autorizzato o vietato, vengono prese in considerazione anche variabili quali la geolocalizzazione, il tipo di dispositivo e l’ora del giorno. Anche la lunghezza dei tasti, la velocità di battitura e i movimenti del mouse di un utente possono essere osservati di nascosto in tempo reale come identificatori biometrici comportamentali per offrire un’autenticazione continua anziché un unico controllo di autenticazione al momento del login.