La strong authentication, ovvero l’autenticazione a due o più fattori, rappresenta il più sicuro ed efficace sistema di protezione degli account. Al giorno d’oggi, infatti, non è più sufficiente utilizzare una password forte per garantire la sicurezza degli account.
Anzi: è ormai necessario utilizzare la cosiddetta “autenticazione forte” per evitare accessi indesiderati e violazioni della privacy. Ma cos’è esattamente l’autenticazione a due fattori e come funziona? Scopriamo di più.
Indice dei contenuti
Cos’è l’autenticazione a due fattori (2FA)?
L’autenticazione a due fattori (2FA: two factor authentication), chiamata anche MFA (Multi-Factor Authentication), è un sistema di sicurezza aggiuntivo capace di proteggere in modo efficiente qualsiasi account.
L’autenticazione a due fattori non deve, al giorno d’oggi, essere considerata una misura protettiva di lusso, da applicare solo in casi specifici. Deve, infatti, diventare una buona pratica quotidiana per qualsiasi account: da quelli personali a quelli aziendali. Per tutti quegli account che gestiscono e conservano dati importanti.
Mentre l’autenticazione a un fattore avviene inserendo semplicemente la password e l’username, l’autenticazione a due fattori necessita dell’inserimento di due o più fattori, di matrice differente. In particolare:
- fattori di conoscenza, per esempio un PIN o una password;
- fattori di possesso, come un token di sicurezza (spesso utilizzati dalle banche per la generazione di un codice);
- fattori di inerenza, come il timbro vocale, l’iride, il viso, l’impronta digitale o altri dati biometrici.
Nella 2FA viene utilizzata la combinazione di due fattori: ad esempio, una password e un token, oppure una password e un dato biometrico. Non viene considerata 2FA un’autenticazione eseguita con due password, in quanto i due fattori hanno la stessa natura.
Tipologie di fattori di autenticazione che utilizza 2FA
Come anticipato, sono principalmente 3 le macro categorie di fattori utilizzati nell’autenticazione a due fattori. Tra i fattori di conoscenza rientrano strumenti quali:
- password, ovvero la classica chiave d’accesso conosciuta solo dall’utente;
- PIN, il codice numerico segreto, spesso impiegato per le carte di credito o bancomat;
- domanda di sicurezza di natura personale, la cui risposta deve essere nota solo all’utente.
I fattori di possesso possono comprendere:
- token software, ovvero codici temporanei generati da un’applicazione installata sullo smartphone (i cosiddetti OTP, One Time Password);
- token hardware, piccoli dispositivi fisici in grado di generare un codice temporaneo o di memorizzare informazioni biometriche;
- smart card, schede munite di chip capaci di memorizzare le informazioni identificative dell’utente.
Tra i fattori biometrici rientrano:
- le impronte digitali;
- il riconoscimento facciale;
- il riconoscimento vocale.
Negli ultimi anni, grazie all’innovazione tecnologica, sono entrati in gioco i:
- fattori intrinseci, che includono le caratteristiche fisiche dell’utente quali il battito cardiaco o la geometria della mano;
- fattori comportamentali, riguardanti le modalità e le abitudini di utilizzo di un dispositivo, come la velocità di digitazione o la pressione del tasto;
- Single sign-on (SSO), un particolare sistema di autenticazione che consente di accedere a più applicazioni mediante una coppia unica di credenziali.
Come funziona la 2FA
Utilizzare la 2FA è semplice e comodo: tale procedura consiste, innanzitutto, nell’inserimento della password (primo fattore). Successivamente, il sistema richiederà un secondo fattore, molto spesso un codice numerico. Questo fattore può essere conosciuto mediante lo smartphone, sotto forma di SMS o grazie a un’apposita applicazione o a un token fisico.
Il secondo codice, a differenza della password, risulta al 100% sicuro in quanto generato in modo pseudocasuale. Il codice, creato da un algoritmo, ha inoltre una durata limitata nel tempo (dai 30 ai 60 secondi). Pertanto, viene definito come OTP (One Time Password).
Una volta inserita la password, se non viene coinvolto un fattore di possesso, verrà richiesto un dato biometrico. Ad esempio, la scansione dell’impronta digitale, il riconoscimento facciale o vocale.
Perché è importante?
L’utilizzo dell’autenticazione a due fattori consente di proteggere sia le risorse personali che quelle aziendali dai rischi connessi a un attacco informatico. La 2FA, infatti, impedisce agli hacker di trafugare, distruggere o accedere ai record di dati.
L’autenticazione a due fattori, quindi, rappresenta il migliore strumento per:
- aumentare la sicurezza dei dati, rendendo difficile se non impossibile accedere agli account. Anche quando l’hacker ruba o individua la password, l’account rimane protetto dal secondo fattore. Inoltre, la 2FA permette di proteggere l’account dagli attacchi phishing e dai malware, riducendo il rischio di furti di identità e di frodi;
- garantire la conformità normativa. In alcuni settori, l’autenticazione a due fattori è divenuta obbligatoria per legge, a tutela della privacy e della sicurezza dei dati. Pertanto, molte aziende e organizzazioni adottano la 2FA per adeguarsi alle normative ed evitare multe e sanzioni;
- proteggere i dati sensibili, in quanto aggiunge un ulteriore livello di sicurezza a protezione di informazioni sanitarie, finanziarie o personali. Ciò si trasforma in un aumento della fiducia degli utenti nei confronti dell’azienda, che dimostra il suo impegno per garantire sicurezza ai dati dei consumatori;
- miglioramento della user experience (UX). L’autenticazione a due fattori, infatti, rappresenta un metodo estremamente comodo e sicuro, alternativo all’utilizzo delle sole password, spesso troppo complesse e difficili da ricordare. Alcune soluzioni di 2FA risultano ancor più semplici da utilizzare perché integrabili con altri sistemi di autenticazione.
Conformità normativa
La 2FA ha assunto, negli ultimi anni, un ruolo sempre più importante nell’ambito della sicurezza informatica. Non solo una best practice, ma anche un vero e proprio obbligo normativo in alcuni delicati settori.
In particolare, alcune normative prevedono l’impiego dell’autenticazione a due fattori:
- Direttiva Europea sui pagamenti (PSD2). Questa normativa impone l’utilizzo della 2FA per transazioni online superiori a 30 euro, con l’obiettivo di aumentare il livello di sicurezza riducendo il rischio di frodi;
- General Data Protection Regulation (GDPR). Questo regolamento, vigente in tutta Europa, tutela i dati personali dei cittadini dell’UE. Il GDPR rende obbligato l’utilizzo della 2FA per l’accesso a dati personali e sensibili, al fine di proteggere le informazioni sensibili dal rischio di furto, violazione o intrusione;
- Cybersecurity Act (CSA). Questa legge europea è stata introdotta per rafforzare la sicurezza informatica delle infrastrutture critiche. Anche questa norma rende obbligatorio l’uso dell’autenticazione a due fattori per gli operatori di servizi essenziali, come fornitori di energia elettrica e telecomunicazioni;
- Mifid II. Trattasi di una direttiva europea che regolamenta i mercati finanziari. Anch’essa impone l’utilizzo della 2FA per l’accesso ai conti di investimento online, con il fine di proteggerli da intrusioni e frodi.
2FA senza password
La costante evoluzione tecnologica ha reso possibile la progettazione di soluzioni di autenticazione a due fattori che non impiegano password. In questo caso, la 2FA utilizza token hardware o fattori biometrici per l’identificazione dell’utente. In particolare, la 2FA senza password funziona con:
- fattori biometrici come il riconoscimento facciale, la scansione dell’iride o l’impronta digitale. Questi dati garantiscono un elevato livello di sicurezza, in quanto si tratta di informazioni uniche, difficilmente duplicabili;
- token hardware come smart card, chiavette USB e altri dispositivi fisici che generano codici temporanei o memorizzano informazioni biometriche.
Nonostante gli indubbi vantaggi della 2FA senza password, questa pratica non è scevra di sfide:
- costi. Questi sistemi possono essere più dispendiosi sia da implementare che da mantenere rispetto ai sistemi basati su password;
- compatibilità. Non tutti i sistemi e i dispositivi sono compatibili con le tecnologie di autenticazione biometrica o i con token hardware;
- problemi di privacy. L’utilizzo dei dati biometrici solleva dubbi relativi alla privacy e alla sicurezza dei dati degli utenti.
