Che cosa è esattamente l'autenticazione a due fattori?
How-To Geek reader Jordan scrive con una domanda semplice:
I’m hearing more and more about two-factor authentication. I vaguely remember Google making a big deal about it last year, my bank recently offered a free key-ring thing for valued customers, and my roommate even has some sort of app on his phone to keep his Diablo III account from getting hacked. I get that it’s some sort of security tool but what exactly is it and should I be using it?
Per capire quale sia l'autenticazione a due fattori, esaminiamo innanzitutto l'autenticazione a un fattore e confrontiamola con i modelli di sicurezza reali e virtuali.
Quando torni a casa dal lavoro, estrai le chiavi e apri la porta posteriore, ti stai impegnando in una semplice autenticazione a un fattore. Alla porta e al gruppo serratura non interessa se la persona che detiene la chiave è tu, il tuo vicino o un criminale che ha sollevato le tue chiavi. L'unica cosa di cui si preoccupa il blocco è che la chiave si adatta (non hai bisogno di due chiavi, una chiave e un'impronta digitale, o qualsiasi altra combinazione di controlli). La chiave fisica è l'unica conferma che la persona che la brandisce è autorizzata ad aprire la porta.
Lo stesso livello di autenticazione a un fattore si verifica quando si accede a un sito Web o servizio che richiede semplicemente il login e la password. Colleghi queste informazioni ed esiste come unico controllo che sei, in effetti, tu.
Supponendo che nessuno rubi mai le tue chiavi o crei / rubi la tua password, sei in buona forma. Mentre le chiavi rubate sono un rischio piuttosto basso, la sicurezza virtuale è più complessa (e contrariamente alle violazioni della sicurezza online. Il gestore del complesso di appartamenti, ad esempio, non copierà mai per caso tutte le chiavi e le lascerà con il proprio nome e indirizzo su un angolo di strada ).
Le violazioni della sicurezza, gli attacchi sofisticati e altri aspetti sfortunati, ma troppo reali, del lavoro e della riproduzione in uno spazio virtuale richiedono pratiche di sicurezza migliorate che includono password complesse multiple e diverse e, quando disponibile, autenticazione a due fattori.
Che cos'è l'autenticazione a due fattori e che aspetto ha per te, l'utente finale? Al minimo l'autenticazione a due fattori richiede due su tre variabili di autenticazione approvate dalla normativa quali:
- Qualcosa che conosci (come il PIN sulla tua carta di credito o la tua password di posta elettronica).
- Qualcosa che hai (la carta bancaria fisica o un token di autenticazione).
- Qualcosa che sei (la biometria come la tua impronta digitale o il motivo dell'iride).
Se hai mai usato una carta di debito, hai utilizzato una semplice forma di autenticazione a due fattori: non è sufficiente conoscere il PIN o avere fisicamente la carta, devi possederli entrambi per accedere al tuo conto bancario tramite il bancomat.
L'autenticazione a due fattori può assumere una varietà di forme e soddisfare ancora i requisiti 2-3. Ci può essere un gettone fisico, come quelli ampiamente usati nel settore bancario, dove viene generato un codice over-the-air per te. Per accedere è necessario il nome utente, la password e il codice univoco (scaduto ogni 30 secondi circa). Altre società ignorano il percorso dell'hardware personalizzato e forniscono app per telefoni cellulari (o codici consegnati tramite SMS) che forniscono la stessa funzionalità. Anche se non particolarmente comune, è possibile utilizzare l'autenticazione a due fattori basata su dati biometrici (come la sicurezza di un file crittografato tramite password e impronta digitale).
Perché dovrei usarlo e dove posso trovarlo?
Ogni volta che un'autenticazione a due fattori è disponibile per un sistema e quel sistema che viene compromesso ti causerebbe una sofferenza significativa, dovresti abilitarlo. Avere la tua e-mail compromessa ti apre agli altri servizi che vengono compromessi come server di posta elettronica come una sorta di chiave principale per l'accesso a reimpostazioni di password e altre richieste. Se la tua banca fornisce un autenticatore mobile o un altro strumento, approfittane. Anche per cose come i tuoi compagni di stanza, i giocatori di Diablo III trascorrono centinaia di ore a costruire i loro personaggi e spesso spendono soldi veri acquistando beni di gioco, perdendo tutto quel lavoro e gli attrezzi è una proposta terribile, schiaffi un autenticatore sul tuo account!
Sfortunatamente, non tutti i servizi offrono l'autenticazione a due fattori. Il modo migliore per scoprirlo è scavare attraverso le FAQ / file di supporto e / o contattare il personale di supporto per il servizio in questione. Detto questo, molte aziende parlano dell'adozione di schemi di autenticazione a più fattori.
Google ha l'autenticazione a due fattori sia per gli SMS che con una comoda app mobile: leggi la nostra guida sull'installazione e la configurazione dell'app mobile qui.
LastPass offre molteplici forme di autenticazione a più fattori, incluso l'utilizzo di Google Authenticator. Abbiamo una guida per configurarlo qui.
Facebook ha un sistema a due fattori chiamato "login approvazioni" che utilizza SMS per confermare la tua identità.
SpiderOak, un servizio di archiviazione simile a Dropbox, offre l'autenticazione a due fattori.
Blizzard, la compagnia dietro a giochi come World of War Craft e Diablo, ha un autenticatore gratuito.
Anche se sembra, basandosi sulla lettura del file delle FAQ della società in questione, non hanno l'autenticazione a due fattori, spara loro una mail e chiedi. Più persone chiedono informazioni su due fattori, maggiore è la possibilità che l'azienda lo implementa.
Mentre l'autenticazione a due fattori non è invulnerabile all'attacco (un sofisticato attacco man-in-the-middle o qualcuno che ruba il tuo token di autenticazione secondario e picchiandoti con una pipa potrebbe spezzarla), è radicalmente più sicuro che fare affidamento su una normale password e semplicemente avere un sistema a due fattori attivato ti rende un obiettivo molto meno avvincente.
Conosci un servizio, grande o piccolo, che offre l'autenticazione a due fattori? Ascolta nei commenti per avvisare i tuoi colleghi lettori.