L’era dell’autenticazione automatica attraverso la scansione biometrica è quasi arrivata. Eppure, anche in questo momento di Face ID di Apple, Ciao di Windows 10, e la specifica FIDO2 up-and-coming, le password sono ancora il modo principale per accedere ai nostri vari account. Ecco perché l’autenticazione a due fattori (2FA) è un importante passo secondario per proteggere i tuoi dati e servizi online.
Cos’è l’autenticazione a due fattori?
L’autenticazione a due fattori o a più fattori è un codice di accesso aggiuntivo per un account, una seconda linea di difesa per le tue informazioni sensibili.
L’idea di base è che una singola password per i tuoi account importanti semplicemente non è sufficiente. Se la password è indovinato, o hacker rubare un database con le informazioni di accesso in testo normale, il tuo account è un bersaglio facile. L’autenticazione a due fattori cerca di risolvere questo difetto richiedendo un codice secondario chiamato one-time password (OTP)—di solito sei caratteri di lunghezza e generato da un’app per smartphone—prima di poter accedere al tuo account. In questo modo, anche se un hacker ha la tua password, dovrà comunque decifrare un codice secondario, il che rende molto più difficile entrare.
C’è anche un modo più semplice per utilizzare 2FA chiamato lo standard FIDO U2F, supportato da Google, Facebook e molti altri. Con questo tipo di autenticazione si utilizza una chiave di sicurezza fisica, e inserirla nel PC, toccare il pulsante del tasto, e si sta “automagicamente” loggato.
Chiave di sicurezza Titan di Google.
2FA non è infallibile, tuttavia. Se si decide di ottenere i codici 2FA via SMS, per esempio, il codice potrebbe potenzialmente essere intercettato dagli hacker, come i ricercatori per le tecnologie positive dimostrato nel 2017. Detto questo, l’autenticazione SMS è ancora molto meglio di niente. A maggio 2019, Google ha annunciato uno studio di un anno che ha fatto in collaborazione con la New York University e l’Università della California, San Diego. Il trio ha scoperto che l’autenticazione SMS bloccato il 96 per cento degli attacchi di phishing di massa, e il 76 per cento degli attacchi mirati cercando di crack nel tuo account Google.
Non è male la protezione, ma la strategia di prompt sul dispositivo di Google (ne parleremo più avanti) è stata ancora migliore, bloccando il 99% degli attacchi di phishing di massa e il 90% degli attacchi mirati. L’autenticazione a due fattori basata su app è simile in quanto il secondo passaggio viene generato sullo smartphone stesso. Quindi, mentre questo studio non ha menzionato specificamente le app 2FA, ci aspettiamo che i risultati siano gli stessi, se non migliori, di un prompt sul dispositivo.
Il fatto è che l’utilizzo di una soluzione 2FA basata su software o hardware su un dispositivo che possiedi è un ottimo modo per proteggere il tuo account e molto meglio del semplice utilizzo di SMS.
Opzioni software
Qualsiasi servizio che supporta l’approccio standard OTP 2FA funzionerà con tutte le app sottostanti e che include la maggior parte dei siti Web e dei servizi mainstream. Una notevole eccezione è Steam, che fornisce un’opzione 2FA homegrown nella sua app mobile.
Google Authenticator: Migliore in generale
Uno dei modi più comuni di utilizzare l’autenticazione a due fattori è Google Authenticator. Questa è un’app gratuita per smartphone di Google disponibile sia per Android che per iOS.
Usarlo è molto semplice e può introdurre i principianti alla premessa di base della maggior parte delle app 2FA. Quello che fai è abilitare l’autenticazione a due fattori sui tuoi servizi come Facebook, Gmail, Dropbox. ecc. Una volta abilitato, il servizio ti chiederà di scattare un’istantanea di un codice QR utilizzando l’app: gli utenti Android devono scaricare un’app di lettura del codice QR per lavorare con Google Authenticator.
Nota: in alcuni casi, 2FA è anche chiamato verifica in due passaggi, che è una distinzione che non entreremo qui.
Una volta letto il codice QR, Authenticator inizierà a generare codici e il servizio in genere ti chiederà di inserire quello corrente per verificare che 2FA funzioni. Puoi aggiungere tutti gli account che vuoi a Google Authenticator purché supportino 2FA.
LastPass Authenticator: Runner up
L’app di autenticazione gratuita di LastPass utilizza una funzionalità chiamata notifiche push con un solo tocco che consente di accedere per selezionare i siti su PC con un clic invece di inserire codici. LastPass ha un video su YouTube che dimostra la funzione.
Gli accessi con un solo tocco funzionano con LastPass stesso e anche con cinque siti di terze parti tra cui Amazon (esclusa AWS), Google, Dropbox, Facebook e Evernote. Per utilizzare le notifiche con un solo tocco è necessario che l’estensione LastPass sia installata nel browser e abilitata. Ciò significa che è necessario disporre di un account LastPass, ma uno gratuito lo farà. Questi accessi one-tap sono specifici del browser, quindi se si one-tap log in su Chrome si dovrà accedere di nuovo se si utilizza Microsoft Edge, per esempio.
Può sembrare tutto piuttosto misterioso, ma ecco cosa sta succedendo dietro le quinte con accessi one-tap su siti di terze parti. Quando un utente accede a un sito compatibile, l’estensione del browser LastPass invia una notifica push al telefono dell’utente, che avvisa l’utente che viene richiesto un accesso. L’utente tocca Consenti sul telefono e viene restituito un messaggio di conferma all’estensione che include il codice 2FA richiesto. L’estensione riceve queste informazioni, le fornisce al sito Web e l’utente è connesso.
LastPass Authenticator si integra anche con diversi siti di proprietà della società madre del gestore di password, LogMeIn, per offrire un tipo simile di accesso con un solo tocco. Questi siti includono LastPass, LogMeIn Pro / Central, GoToAssist, LogMeIn Rescue, Xively.
Microsoft Authenticator
Microsoft ha anche un’applicazione gratuita authenticator per Android, iOS e Windows 10 Mobile. Afferra i codici per siti come Facebook e Dropbox scattando un codice QR proprio come gli altri. Per gli account Microsoft personali, tuttavia, supporta notifiche con un solo tocco simili a LastPass.
La funzionalità di Microsoft può accedere al tuo account su qualsiasi dispositivo. Tutto quello che devi fare è approvare il login ed è buono come inserire il codice breve. Non è un enorme risparmio di tempo, ma è leggermente più conveniente.
Authy: La migliore soluzione multi-dispositivo
Se hai usato 2FA per un certo periodo di tempo, sai che uno degli aspetti negativi è che devi passare attraverso il fastidio di riattivare i tuoi codici di autenticazione ogni volta che un nuovo smartphone.
Se si dispone di 10 conti con 2FA che significa scattare 10 codici QR tutto da capo. Se sei un tossicodipendente smartphone che ama cambiare i dispositivi ogni uno o due anni che il processo può essere una seccatura.
Il servizio gratuito di Authy mira a risolvere questo problema memorizzando tutti i tuoi token 2FA—i dati dietro le quinte che fanno funzionare i tuoi codici 2FA—nel cloud sui suoi server. Per utilizzare questa funzione è necessario abilitare prima i backup crittografati e quindi i token vengono memorizzati sui server di Authy.
In questo modo quando accedi a qualsiasi app Authy, sia sul tuo smartphone, tablet o laptop Windows o Mac, hai accesso ai tuoi codici. C’è anche un app Chrome per gli utenti di Chrome OS.
L’accesso multi-dispositivo ai tuoi codici 2FA è fantastico, ma ha un inconveniente. Authy dice che i backup sono crittografati in base a una password inserita sullo smartphone prima di colpire il cloud. Ciò significa che il tuo codice di accesso è l’unico modo per decrittografarli e Authy non lo ha in archivio. Se dimentichi il tuo codice di accesso, puoi essere bloccato dai tuoi account poiché non avrai i codici 2FA. Il modo in cui riottieni l’accesso a ciascun account dipende dalle politiche di recupero account di ciascun servizio.
Se sei nuovo a 2FA questa potrebbe non essere l’app per te a meno che tu non sia pronto a prendere le misure appropriate per assicurarti di non perdere mai l’accesso a Authy—come scrivere il tuo codice di accesso e conservarlo in un posto sicuro.
Opzioni hardware
Il modo più sicuro per bloccare gli account con l’autenticazione a due fattori è utilizzare una chiave di sicurezza fisica. Nello studio di Google che ho menzionato in precedenza, ha scoperto che le chiavi di sicurezza bloccavano il 100% del phishing di massa e attacchi mirati.
L’aspetto negativo dell’utilizzo di una chiave di sicurezza, tuttavia, è che se perdi o rompi la chiave potresti essere bloccato dai tuoi account e dovrai passare il metodo di autenticazione del secondo fattore a una nuova chiave.
Yubico Authenticator
Questa opzione è la mia preferita. YubiKey di Yubico è una soluzione 2FA basata su hardware. È un piccolo dispositivo simile a una scheda con un’estremità che si inserisce in una porta USB di tipo standard. Può verificare l’autenticazione premendo un pulsante invece di inserire manualmente un codice breve. YubiKeys sono anche molto resistenti e impermeabili rendendo difficile rovinare questi dispositivi.
Questo approccio one-tap funziona solo per gli account che supportano lo standard FIDO U2F di cui sopra, come Google e GitHub. Per quei servizi che non supportano lo standard, un YubiKey può anche memorizzare token 2FA e visualizzare i codici sull’app Yubico Authenticator.
Come si utilizza Yubico Authenticator per ottenere un codice 2FA dipende dal fatto che si sta utilizzando l’applicazione authenticator su un PC o uno smartphone Android. Sul desktop, è sufficiente inserire la chiave in una porta USB, e l’autenticatore visualizza immediatamente i codici brevi e consente di aggiungere nuovi. Rimuovere il YubiKey, e l’applicazione smette di mostrare i codici immediatamente. Yubico Authenticator sul desktop funziona con la maggior parte dei modelli YubiKey tranne la chiave di base FIDO U2F.
Su Android hai bisogno di un YubiKey che supporti NFC e l’app Yubico Authenticator, che a questo punto è YubiKey 5 NFC ($45), e l’ormai fuori produzione (ma ancora supportato) YubiKey Neo. Con questi tasti tutto quello che fai è aprire Authenticator sul telefono, toccare il tasto vicino chip NFC del telefono, e i codici appariranno sul app. C’è anche una chiave di sicurezza da N 27 NFCRemove non-product link, ma supporta solo l’autenticazione FIDO U2F (e gli accessi senza password FIDO2), non la funzionalità one-time-password.
Simile a Authy, la bellezza di YubiKey è che consente di trasferire facilmente i codici di autenticazione da un dispositivo all’altro.
Titan Security Key
Google ha debuttato la propria chiave di sicurezza hardware nel 2018, il Titan Security KeyRemove non-product link. Questa chiave è disponibile in un pacchetto di 5 50 con due dispositivi fisici. Il primo è una chiave con un USB-Un inserto simile a YubiKey. Il secondo è un dongle Bluetooth che può connettersi al telefono in modalità wireless. La chiave di sicurezza Titan ha alcuni inconvenienti. Innanzitutto, supporta solo i siti che utilizzano lo standard FIDO e FIDO2F, il che significa che non è possibile ricorrere ai codici OTP per i siti che supportano 2FA ma non la voce one-touch FIDO. Google ha anche recentemente dovuto richiamare i suoi dongle Bluetooth dopo che è stata scoperta una grave falla di sicurezza. Yubico, in confronto, deve ancora rilasciare una versione Bluetooth della sua chiave di sicurezza, perché non crede che la tecnologia sia abbastanza sicura.
Bonus: Google sul dispositivo richiede
Un esempio di Google sul dispositivo richiede.
Se tuffarsi nel mondo di 2FA è troppo per voi in questo momento, perché non immergere il dito del piede nell’esperienza con Google on-device prompt? Questa è una semplice misura di sicurezza che aiuta a proteggere il tuo account Google.
Ogni volta che vuoi accedere a Google su una nuova macchina, dovrai autorizzarlo con un clic sul tuo dispositivo Android o iOS. Per farlo funzionare su Android avrai bisogno dell’ultima versione di Google Play Services, che la maggior parte delle persone dovrebbe avere automaticamente. Chiunque su dispositivi iOS ha bisogno di una versione corrente delle app Google o Gmail.
L’autenticazione a due fattori è un passo importante da compiere per proteggere i tuoi account importanti quando possibile. Può sembrare un dolore a volte per inserire quel codice extra-che si può avere solo a che fare una volta per dispositivo o una volta ogni 30 giorni-ma è un prezzo che vale la pena pagare per rendere i vostri conti online più sicuro.