Diversi servizi offrono diversi metodi di autenticazione a due fattori e, in alcuni casi, puoi anche scegliere tra diverse opzioni. Ecco come funzionano e come si differenziano.
Verifica SMS
Questo è conveniente, poiché non è necessario fare nulla di speciale e la maggior parte delle persone ha un telefono cellulare. Alcuni servizi compongono anche un numero di telefono e un sistema automatico parla un codice, permettendoti di usarlo con un numero di telefono fisso che non può ricevere messaggi di testo.
Tuttavia, ci sono grossi problemi con la verifica SMS. Gli aggressori possono utilizzare gli attacchi di scambio di SIM per accedere ai tuoi codici protetti o intercettarli grazie a falle nella rete cellulare. Si consiglia di non utilizzare messaggi SMS, se possibile. Tuttavia, i messaggi SMS sono ancora molto più sicuri di quelli che non utilizzano affatto l'autenticazione a due fattori!
Codici generati da app (come Google Authenticator e Authy)
Installa l'app, esegui la scansione del codice quando imposti un nuovo account e quell'applicazione genererà nuovi codici circa ogni 30 secondi. Dovrai inserire il codice corrente visualizzato nell'app sul telefono e la password quando accedi a un account.
Questo non richiede affatto un segnale cellulare e il "seed" che consente all'app di generare quei codici a tempo limitato è memorizzato solo sul tuo dispositivo. Ciò significa che è molto più sicuro, in quanto anche chi accede al tuo numero di telefono o intercetta i tuoi messaggi di testo non conoscerà i tuoi codici.
Alcuni servizi, ad esempio Battle.net Authenticator di Blizzard, hanno anche le loro app dedicate per la generazione di codice.
Chiavi di autenticazione fisica
Questa soluzione funziona meglio della verifica SMS e dei codici monouso perché non può essere intercettata e incasinata. È anche più semplice e più comodo da usare. Ad esempio, un sito di phishing potrebbe mostrarti una falsa pagina di accesso di Google e acquisire il tuo codice monouso quando tenti di accedere. Potrebbero quindi utilizzare quel codice per accedere a Google. Tuttavia, con una chiave di autenticazione fisica che funziona di concerto con il browser, il browser può garantire che stia comunicando con il sito Web reale e che il codice non possa essere catturato da un utente malintenzionato.
Aspettatevi di vederne molti di più in futuro.
Autenticazione basata su app
La verifica in due passaggi di Apple funziona in modo simile, sebbene non utilizzi un'app: essa utilizza il sistema operativo iOS stesso. Ogni volta che si tenta di accedere da un nuovo dispositivo, è possibile ricevere un codice monouso inviato a un dispositivo registrato, come il proprio iPhone o iPad. L'app mobile di Twitter ha una funzionalità simile chiamata verifica dell'accesso. E Google e Microsoft hanno aggiunto questa funzione alle app per smartphone Google e Microsoft Authenticator.
Sistemi basati su email
Questo non è sicuro come altri metodi di verifica in due passaggi, in quanto può essere facile per qualcuno accedere al tuo account di posta elettronica, soprattutto se non stai utilizzando la verifica in due passaggi su di esso! Evita la verifica tramite e-mail se puoi usare qualcosa di più forte. (Per fortuna, Steam offre un'autenticazione basata sull'app sulla sua app mobile.)
The Last Resort: Recovery Code
I codici di ripristino forniscono una rete di sicurezza in caso di perdita del metodo di autenticazione a due fattori. Quando si imposta l'autenticazione a due fattori, di solito vengono forniti i codici di ripristino che è necessario annotare e archiviare in un luogo sicuro. Ne avrai bisogno se perdi il tuo metodo di verifica in due passaggi.
Assicurati di avere una copia dei tuoi codici di ripristino da qualche parte se utilizzi l'autenticazione in due passaggi.
Non troverai molte opzioni per ciascuno dei tuoi account. Tuttavia, molti servizi offrono più metodi di verifica in due passaggi tra cui scegliere.
C'è anche la possibilità di utilizzare più metodi di autenticazione a due fattori. Ad esempio, se si imposta sia un'app di generazione del codice che una chiave di sicurezza fisica, è possibile accedere al proprio account tramite l'app se si perde la chiave fisica.
