L’era delle impronte digitali e dell’autenticazione tramite la scansione del volto è ormai arrivata. Eppure, anche con l’avvento di Face ID di Apple e di Windows Hello, le password sono ancora il modo principale di accesso ai nostri account online. Ecco perché l’autenticazione a due fattori (2FA) è ancora così importante.

Cos’è l’autenticazione a due fattori?

L’autenticazione a due fattori o a più fattori è un codice di accesso aggiuntivo per un account, una sorta di seconda linea di difesa per le informazioni sensibili. Esistono diversi modi per ottenere questi codici di accesso. L’idea di base che sta dietro a questa pratica è che una singola password non sia più sufficiente visto il rischio di vedersela sottratta o rubata da hacker nei modi più disparati.

L’autenticazione a due fattori tenta di risolvere il limite della password singola richiedendo un codice aggiuntivo (in genere di sei caratteri di lunghezza e generato da un’applicazione per smartphone) prima che si possa accedere al proprio account. In questo modo, anche se un hacker ha la vostra password, avrà comunque bisogno di decifrare un secondo codice, il che rende molto più difficile la sua azione criminale.

Nemmeno questo metodo però è infallibile. Se infatti decidete di ottenere il codice aggiuntivo via SMS, ad esempio, questo potrebbe essere potenzialmente intercettato dagli hacker, come hanno recentemente dimostrato i ricercatori di Positive Technologies. Ecco perché è preferibile utilizzare una soluzione software o hardware su un dispositivo. Qualsiasi servizio che supporti l’approccio standard 2FA funzionerà con tutte le app sottostanti.

Google Authenticator: il più semplice da usare

autenticazione a due fattori

Uno dei metodi più comuni per eseguire l’autenticazione a due fattori è Google Authenticator. Si tratta di un’app gratuita per smartphone di Google disponibile per Android e iOS. Usarla è molto semplice e l’app abilita l’autenticazione a due fattori su servizi come Facebook, Gmail, Dropbox. ecc. Una volta abilitato, il servizio chiede di scattare un’istantanea di un codice QR utilizzando l’app: gli utenti Android devono scaricare un’app di lettura del codice QR per utilizzare Google Authenticator.

Una volta letto il codice QR, Authenticator inizia a generare codici e il servizio chiede di inserire quello corrente per verificare che l’autenticazione funzioni. Potete aggiungere tutti gli account che desiderate a Google Authenticator purché supportino 2FA.

LastPass Authenticator: seconda classificata

L’app di autenticazione gratuita di LastPass utilizza una funzionalità chiamata one-tap push notification che consente di accedere a determinati siti su PC con un tocco anziché immettendo codici. LastPass ha un video su YouTube che dimostra la funzione.

Gli accessi tramite one-tap funzionano con LastPass stesso e anche con cinque siti di terze parti tra cui Amazon (ad esclusione di AWS), Google, Dropbox, Facebook e Evernote. Per utilizzare le notifiche one-tap è necessario che l’estensione LastPass sia installata nel browser e abilitata. Ciò significa che dovete avere un account LastPass (e fortunatamente ne basta uno gratuito). Questi accessi one-tap sono specifici per browser, quindi se accedete con un solo tocco su Chrome dovrete accedere nuovamente se per esempio utilizzate in un secondo tempo Edge.

Può sembrare tutto piuttosto macchinoso e “misterioso”, ma ecco come funzionano in realtà gli accessi one-tap su siti di terze parti. Quando un utente accede a un sito compatibile, l’estensione LastPass del browser invia una notifica push al telefono dell’utente per avvisarlo che è stato richiesto un accesso. L’utente fa un tap su Consenti e viene inviato un messaggio di conferma all’estensione che include il codice 2FA richiesto. L’estensione riceve queste informazioni, le fornisce al sito web e l’utente ha così effettuato l’accesso.

Microsoft Authenticator

microsoftauthenticator-100736002-orig

Anche Microsoft ha un’app di autenticazione gratuita per Android, iOS e Windows 10 Mobile che funziona per siti come Facebook e Dropbox facendo riconoscere un codice QR come le altre app. Per account Microsoft personali, tuttavia, supporta notifiche one-tap simili a quelle di LastPass.

Authy: la migliore soluzione multi-dispositivo

Se avete utilizzato 2FA per un certo periodo di tempo, saprete che uno dei lati negativi è che dovete riabilitare i codici di autenticazione ogni volta che passate a un nuovo smartphone. Se avete 10 account con 2FA, ciò significa riconoscere 10 codici QR da capo. Se vi piace cambiare dispositivo ogni uno o due anni, il processo può essere una seccatura.

Il servizio gratuito di Authy mira a risolvere questo problema memorizzando tutti i token 2FA (i dati “nascosti” che fanno funzionare i codici 2FA) sui suoi server nel cloud. Per utilizzare questa funzione, è necessario innanzitutto abilitare i backup crittografati e, fatto questo passaggio, i token vengono memorizzati sui server di Authy.

authy-100736003-orig

In questo modo quando accedete all’app di Authy su smartphone, tablet o PC Windows/Mac, avete accesso ai codici. C’è anche un’app Chrome per gli utenti di Chrome OS. L’accesso multi-dispositivo ai codici 2FA è sicuramente valido, ma presenta uno svantaggio. I vostri backup sono crittografati in base a una password inserita sullo smartphone prima di finire nel cloud. Ciò significa che il vostro passcode è l’unico modo per decriptarli e se lo dimenticate rimanete fuori dai vostri account visto che non avrete i codici 2FA. Il modo per riottenere l’accesso a ciascun account dipende dalle politiche di recupero di ciascun account.

Se siete alle prime armi con l’autenticazione 2FA, questa potrebbe non essere l’app ideale a meno che non siate pronti ad adottare le misure appropriate per assicurarvi di non perdere l’accesso a Authy, come scrivere il passcode e conservarlo in un posto sicuro.

Yubico Authenticator

fido_alliance_u2f_usb_authentication_oct_2014-100526155-large

Quest’ultimo è anche il nostro preferito. Yubico YubiKey è una soluzione 2FA basata su hardware. È un piccolo dispositivo simile a una chiavetta USB che verifica l’autenticazione con la pressione di un pulsante invece che con l’inserimento di un codice.

Questo approccio one-tap funziona solo per gli account che supportano lo standard FIDO U2F come Google e GitHub. Per quelli che non lo fanno YubiKey può anche memorizzare token 2FA e visualizzare i codici sull’app Yubico Authenticator.

Il modo in cui si utilizza Yubico Authenticator per ottenere un codice 2FA dipende dal dispositivo in uso (PC o smartphone Android). Su PC basta inserire il dispositivo in una porta USB e l’autenticatore visualizza immediatamente i codici e consente di aggiungerne di nuovi. Rimuovete YubiKey dal PC e l’app smette immediatamente di mostrare i codici.

Su Android è possibile utilizzare solo YubiKey Neo poiché è l’unico modello che attualmente supporta la connettività NFC. Con Neo tutto ciò che bisogna fare è aprire Authenticator sul vostro smartphone, toccare il tasto vicino al chip NFC e verranno visualizzati i codici.

Il bello di YubiKey è che permette di trasferire facilmente i codici di autenticazione da un dispositivo all’altro. Il rovescio della medaglia è che se perdete o rompete la vostra YubiKey (sono comunque dispositivi abbastanza resistenti e impermeabili), dovete cambiare il metodo di autenticazione del secondo fattore.

L’autenticazione a due fattori è un passo importante da intraprendere per proteggere i vostri account. A volte può sembrare un fastidio inserire quel codice extra, ma è un prezzo che vale la pena pagare per rendere più sicura la vostra “vita” online.