L'autenticazione a due fattori (2FA) sembrava qualcosa di riservato ai film di spionaggio o ai thriller politici, il genere di cose che Ethan Hunt di Mission Impossible deve usare per accedere al suo incarico prima che si autodistrugga. Ma non è più così. Praticamente tutti noi utilizziamo la 2FA su base giornaliera, che si tratti della 2FA biometrica sui nostri dispositivi (impronta digitale o riconoscimento facciale) o delle comuni password monouso ottenute tramite SMS o un'app di autenticazione.
I nostri account sono troppo preziosi per essere ignorati dagli hacker. Anche un account di posta elettronica compromesso può essere un trampolino di lancio per ottenere l'accesso a conti finanziari e derubarti dei tuoi sudati soldi mentre crei uno scenario da incubo per te. Sebbene i film ritraggano un hacker in felpa con le dita che volano furiosamente sulla tastiera, la realtà è che secondo il Verizon Data Breach Investigations Report 2022-2023 la stragrande maggioranza delle violazioni della sicurezza (85%) coinvolge un elemento umano. 2FA è il modo migliore per combattere questo tipo di attacco.
- I migliori servizi VPN 2022-2023
- L'app Norton Antivirus ora ti consente di guadagnare criptovalute: ecco cosa puoi estrarre
- Le migliori offerte di laptop nel giugno 2022-2023
Che tu pensi che questa sia una vera preoccupazione per te o meno, molte aziende stanno passando alla 2FA come misura di sicurezza richiesta e Google è una delle più recenti ad annunciare che richiederà la 2FA nel prossimo futuro.
Di recente abbiamo spiegato perché devi smettere di usare il tuo numero di telefono per l'autenticazione a due fattori, se te lo sei perso e non sei sicuro del motivo per cui è una cattiva idea, dai un'occhiata e torna indietro, ora ti mostreremo come per fare 2FA nel modo giusto.
Che cos'è l'autenticazione a due fattori?
2FA è la forma più conosciuta e utilizzata di autenticazione a più fattori (MFA), che come suggerisce il nome si basa su più fattori per verificare la tua identità. Un classico esempio è prelevare denaro da un bancomat, per accedere al tuo conto hai bisogno della carta e del tuo PIN.
Questo esempio include due delle tre categorie per MFA, "cosa hai" (un oggetto fisico) e "cosa sai" (una password o una domanda di sicurezza). La terza opzione è "quello che sei" che significa un metodo biometrico come uno scanner di impronte digitali o il riconoscimento facciale. A differenza anche di una password incredibilmente complessa, questo elimina la possibilità di una violazione del tuo account senza l'accesso fisico a te.
Nel suddetto annuncio 2FA di Google, si riferiva alle password come "la singola più grande minaccia alla tua sicurezza online". Per ora, le password sono ancora parte integrante del processo 2FA per la maggior parte delle persone. Tuttavia, il punto è che sono il punto debole della catena che deve essere rafforzato da almeno un fattore aggiuntivo. Quindi diamo un'occhiata alle migliori opzioni per 2FA.
Autenticazione a due fattori basata su app
Come per quasi tutto, ci sono soluzioni di app per gestire 2FA, queste sono chiamate app di autenticazione. Ce ne sono dozzine sul mercato, ma alcuni che consiglierei sono Authy, Microsoft Authenticator, LastPass e 1Password. Google Authenticator è un'altra opzione popolare, ma non mi piace che non richieda né password né accesso biometrico, è una potenziale lacuna di sicurezza in un processo che sta cercando di eliminarli.
Authy è un'app di autenticazione dedicata ed è espressamente utilizzata per l'accesso 2FA. Microsoft Authenticator, LastPass e 1Password sono gestori di password che hanno incorporato un componente di autenticazione. Se hai bisogno di un gestore di password o ne usi già uno, seguirei questa strada in quanto rende il processo 2FA il più semplice possibile.
Dopo aver scelto la tua app di autenticazione e averla installata, puoi iniziare a configurare 2FA per i tuoi account. Questa sarà la parte più noiosa del processo in quanto implica la visita di qualsiasi servizio o sito che utilizzi che offre supporto 2FA uno per uno. Sospetto che questo sia il passaggio che allontana la maggior parte delle persone dall'uso di 2FA, ma alla fine ne vale la pena per la tua sicurezza online. E una volta che hai 2FA attivo e funzionante, non è il fastidio che alcuni lo fanno sembrare.
Durante la configurazione iniziale, eseguirai la scansione di un codice QR o, in alcuni casi, inserirai un codice e il servizio verrà salvato nell'app di autenticazione. Vedrai i tuoi account elencati con una serie di sei cifre accanto a loro e un conto alla rovescia. Ogni 30 secondi viene prodotto un nuovo codice casuale di sei cifre per ognuno. Si tratta di password monouso (TOTP) basate sul tempo, simili a quelle che otterresti tramite SMS o e-mail, ma non richiedono una connessione a Internet e, soprattutto, non possono essere intercettate da nessuno.
Ora, nella maggior parte dei casi, non dovrai inserire il tuo codice TOTP ogni volta che accedi, a meno che tu non voglia quel livello di sicurezza. In genere è necessario utilizzarlo solo quando si effettua l'accesso su un nuovo dispositivo o dopo che è trascorso un determinato periodo di tempo, 30 giorni sono comuni, ma i siti e i servizi variano in base a questo.
Autenticazione a due fattori basata su hardware
Ora, mentre c'è sicuramente un fattore di convenienza con gli autenticatori mobili. In un case study di due anni con Google, una soluzione basata su hardware era quattro volte più veloce, meno incline a richiedere supporto e più sicura. Una soluzione hardware MFA/2FA assomiglia molto a un'unità flash USB. Sono disponibili in diverse forme e dimensioni e offrono supporto per qualsiasi dispositivo con USB Type-A, USB Type-C e Lightning. Alcune opzioni moderne offriranno anche supporto wireless tramite NFC o Bluetooth.
Con questi token di sicurezza, li colleghi semplicemente al tuo dispositivo o li scorri sul chip NFC sul tuo dispositivo e questo funge da metodo 2FA. Questa è la categoria MFA "quello che hai". È facile vedere come sarà più veloce rispetto al dover aprire l'app di autenticazione, trovare il codice TOTP pertinente e quindi inserirlo prima che venga ripristinato.
Proprio come le app di autenticazione, ci sono un numero considerevole di opzioni quando si tratta di hardware 2FA. Il più importante (e quello con cui Google è andato per i suoi oltre 50.000 dipendenti) è YubiKey. Google stesso ha il suo token di sicurezza Titan e Thetis è un altro forte attore sul mercato, ma tutte queste opzioni sono certificate FIDO U2F, uno standard aperto creato da Google e Yubico (la società dietro YubiKey) nel 2007 per promuovere un'ampia adozione di sicurezza autenticazione.
Il processo di configurazione di base è essenzialmente identico al metodo di autenticazione mobile, dovrai accedere a ciascun servizio e seguire le istruzioni per configurare 2FA. Invece di scansionare un codice QR e ottenere i codici TOTP, quando richiesto dovrai collegare o scorrere il tuo token di sicurezza e verrà quindi registrato con quel servizio. Quando richiesto in futuro, dovrai solo collegare di nuovo o scorrere il token di sicurezza e toccare il contatto su di esso. Se non sei sicuro di quali servizi e applicazioni utilizzi che supportano una chiave di sicurezza, puoi fare riferimento a questo pratico catalogo di Yubico.
La preoccupazione più comune con la chiave di sicurezza è cosa fare se la si perde o si rompe. Ci sono un paio di opzioni lì. Quello che Google impiega e che Yubico consiglia è di mantenere due chiavi di sicurezza, una che è archiviata in modo sicuro e un'altra che tieni con te. Ad eccezione di alcuni dei piccoli token di sicurezza che devono essere tenuti permanentemente collegati a dispositivi che si trovano in un luogo sicuro, tutti i token di sicurezza hanno un foro per consentirne il fissaggio al portachiavi.
Ciò significa che ogni volta che ti registri per 2FA su un nuovo servizio che devi eseguire entrambe le chiavi di sicurezza poiché si sta registrando sull'hardware fisico e non su un account, ma di nuovo dopo la configurazione iniziale, questo non dovrebbe essere così frequente di un problema. Questi non sono molto costosi con YubiKey 5 NFC, ad esempio per $ 45 e il token di sicurezza Thetis FIDO2 BLE disponibile per meno di $ 30 e non dovresti sostituirli per anni, quindi non è una cattiva soluzione.
L'alternativa è che devi conservare i codici di backup forniti da tutti i siti e i servizi su cui utilizzi 2FA. Questi possono essere stampati e archiviati in un luogo sicuro oppure è possibile crittografare e archiviare i file di testo in un luogo sicuro in una cartella protetta da password e crittografata o su un'unità flash archiviata in modo sicuro.
Panoramica
Indipendentemente dal fatto che tu scelga una soluzione 2FA basata su app o hardware, non c'è dubbio che la configurazione iniziale sia uno dei maggiori ostacoli dato il volume di siti, servizi e app che molti di noi usano. Ho trovato più facile fare solo 3-5 al giorno fino a quando non li ho fatti strada tutti piuttosto che andare per una singola sessione di registrazione alla maratona.
Tuttavia, una volta terminato il processo iniziale, è un passaggio extra piuttosto indolore che offre molta più sicurezza rispetto a una sola password o a una soluzione 2FA basata su SMS o e-mail. Potresti irritarti un po' per il tempo extra speso di tanto in tanto a dover inserire il tuo codice o inserire la tua chiave di sicurezza, ma impallidisce in confronto al mal di testa di dover affrontare qualcuno che ruba le tue credenziali e potenzialmente capovolgendo la tua vita mentre provi per riprendere il controllo dei tuoi account.
Con aziende come PayPal, Google e altre che passano alla 2FA come requisito, avrai bisogno di una soluzione 2FA. Non accontentarti di SMS o soluzioni basate su e-mail, sono semplicemente troppo facilmente aggirabili. Sia le app di autenticazione che le chiavi di sicurezza hardware offrono un'effettiva sicurezza 2FA e, dopo il processo di configurazione iniziale, diventano rapidamente una parte integrante delle tue abitudini di sicurezza online.