Magazine

Verifica in 2 passaggi: più fattori di autenticazione, maggiore sicurezza

17/05/2022
Verifica in 2 passaggi: più fattori di autenticazione, maggiore sicurezza
PMIPrivatiProfessionisti
Qual è il livello di sicurezza delle password nella protezione dei dati? L’esperienza ci dimostra che la loro affidabilità è spesso scarsa, tanto che i metodi di autenticazione basati soltanto su di esse vengono definiti tecnicamente “deboli”.

Esiste un'alternativa più sicura? Per rispondere a questa domanda scopriamo cos’è e come funziona la verifica in 2 passaggi, cercando di capire perché è divenuta una modalità necessaria per difendersi dalle minacce interne ed esterne che rappresentano un rischio per i nostri dati.

MFA e verifica in 2 passaggi

Una procedura tradizionale per l’autenticazione ad un servizio, come per esempio l’accesso all’area riservata di un sito Web, prevede che l’utente sia in possesso di 2 credenziali:
  1. Uno username o nome account, tipicamente un indirizzo email o un nickname;
  2. una password più o meno complessa.
Tale sistema presenta diverse criticità, considerando, innanzitutto, che le password più comuni sono reperibili in rete e, in aggiunta, password deboli possono essere anche facili da predire per un attaccante.
La sola coppia di valori username/password non consente infatti di assicurare la reale identità del richiedente, soprattutto considerando il fatto che informazioni come gli indirizzi di posta elettronica e i nickname sono spesso disponibili pubblicamente.
Per superare queste limitazioni è stato sviluppato un nuovo processo di autenticazione basato sulla verifica in due passaggi. Noto anche come: strong authentication, 2FA (Two Factor Authentication – “Autenticazione a 2 fattori”) o MFA (Multi-Factor Authentication). Esso introduce un ulteriore livello di protezione sulle autenticazioni e, in senso più specifico, sull’accesso ai propri dati personali e/o sensibili.

I fattori della verifica in 2 passaggi

La verifica in 2 passaggi non abbandona del tutto il modello di autenticazione basato sulle password ma lo rafforza.

Perché esso funzioni sono necessari almeno due tra gli elementi, o fattori, elencati di seguito, il primo dei quali è requisito essenziale al processo di autenticazione e gli altri due sono opzioni tra di esse alternative:
  1. qualcosa che sai (informazione che conosci);
  2. qualcosa che hai (ad esempio uno smartphone in possesso);
  3. qualcosa che sei (ciò che identifica, ad esempio informazioni biometriche).
Il primo punto riguarda la disponibilità di un’informazione come per esempio un PIN, una password o un codice di altra natura, informazione che è un requisito a cui si aggiungono alternativamente una delle due indicazioni successive (qualcosa che si possiede o qualcosa che identifica).

Il possesso di qualcosa può far riferimento invece ad un dispositivo come uno smartphone o una smart card, sfruttando un codice OTP per superare il processo di autenticazione La massima sicurezza di un OTP, va sottolineato, è raggiunta esclusivamente tramite mobile app perché SMS ed email potrebbero potenzialmente essere intercettate.

L’ultimo punto riguarda l’identificazione dell’utente mediante l'utilizzo di certificati elettronici associati alla propria utenza ed è quindi inerente a un'informazione che lo rappresenta, come per esempio un dato biometrico. Quest’ultimo può essere ottenuto tramite riconoscimento facciale, scansione delle impronte digitali, lettura dell’iride o acquisizione del timbro vocale.

Cosa non è la verifica in 2 passaggi

È bene precisare che per essere tale la verifica in 2 passaggi deve basarsi sulla combinazione tra due degli elementi prima descritti, questo significa che una procedura di autenticazione che prevede l’utilizzo di due password non può essere considerata una verifica in 2 passaggi.

Per garantire il maggior livello di sicurezza possibile i fattori che concorrono a determinarla devono essere infatti di natura differente, quindi è accettabile combinare qualcosa che si conosce con qualcosa che si possiede, così come qualcosa che si conosce con il riconoscimento biometrico o quest’ultimo con qualcosa che si possiede, mentre non è sufficiente, per esempio, l’utilizzo di due dati che si conoscono.

Per spiegare tali requisiti è necessario fare riferimento alle specifiche del NIST (National Institute of Standards and Technology), l’agenzia statunitense per la standardizzazione delle tecnologie, queste ultime stabiliscono infatti che i fattori di autenticazione debbano dimostrare un alto livello di resistenza all’impersonificazione e che quindi non possano essere utilizzati facilmente da terze parti in sostituzione dell’identità altrui.

Come funziona la verifica in 2 passaggi

La dinamica standard di una autenticazione a fattori multipli può essere rappresentata dall’esempio seguente:
  1. un utente desidera accedere all’area riservata di una piattaforma online, ad esempio la gestione del proprio profilo su un social network;
  2. l'utente apre la pagina di login del servizio e “inserisce il suo username (ad esempio l’indirizzo email) e una password;
  3. il sistema verifica le credenziali fornite e, se le riconosce come valide, invia allo smartphone dell’utente un codice temporaneo di autenticazione (OTP – One Time Password) che potrò essere utilizzato ad esempio tramite un generatore di token su app, può essere ricevuto come notifica push sullo smartphone o può essere reperito via SMS;
  4. l'utente digita il codice ricevuto (che, se corretto, gli permette di accedere all’area riservata) o interagisce con la notifica push per poter procedere.
Quella descritta in precedenza è una verifica in 2 passaggi basata su qualcosa che si conosce (una password) e qualcosa che si possiede (uno smartphone). Nel caso specifico l’utente ha già fornito in precedenza il suo numero di telefono alla piattaforma, il sistema dispone quindi di un recapito certo a cui inviare il secondo fattore di autenticazione.

Per vari motivi lo smartphone rappresenta uno dei device più utilizzati per le verifiche in 2 passaggi, innanzitutto perché può essere associato ad uno specifico utente. Non meno importante è il fatto che lo sblocco di uno smartphone aggiunge un ulteriore livello di sicurezza poiché prevede già una prima autenticazione forte utilizzando un precedente fattore di autenticazione (ad esempio un PIN, una gesture, il riconoscimento del volto o dell’impronta digitale).

Non a caso la Direttiva 2015/2366 dell’Unione Europea sulla PSD 2 (Payment Services Directive 2) autorizza l’uso degli smartphone per l’accesso alle piattaforme bancarie. Per lo stesso scopo non è invece più consentito l’utilizzo dei token hardware.

Conclusioni

L’autenticazione in 2 passaggi rappresenta oggi la soluzione migliore per garantire un livello di sicurezza maggiore verso accessi non autorizzati, scongiurare i furti d’identità, proteggere i propri dati personali. Grazie ad essa viene superato il sistema di autenticazione tradizionale basato sulle sole password troppo spesso al centro di attacchi e violazioni che potrebbero essere limitate ricorrendo a più fattori di protezione.


Newsletterbox