Autenticazione a due fattori - si tratta di una doppia verifica della persona al momento dell'accesso al servizio o al sito. Ma perché se ne consiglia l'utilizzo? Qual è il vantaggio?
Quasi tutti conoscono o, almeno, hanno sentito parlare della verifica in due passaggi (autenticazione a due fattori, chiamata anche Lockdown). Viene spesso utilizzato, ad esempio, nelle applicazioni finanziarie che utilizzano questo metodo di autorizzazione per migliorare la sicurezza del lavoro.
È tempo di apprendere alcune informazioni importanti sulla verifica in due passaggi. Fino a quando i meccanismi di accesso senza password e il blocco dinamico non saranno migliorati, questo è il modo migliore per proteggere i nostri account dall'hacking.
Perché dovresti aver paura dell'hacking e del furto dei tuoi dati personali o finanziari? Perché una persona è imperfetta e usa spesso la stessa password per molti account. Se i criminali informatici ottengono le tue informazioni di accesso per un sito Web, cercheranno sicuramente di controllare tutti gli altri possibili siti e servizi. E all'improvviso saranno "fortunati" e la password passerà in un altro posto? Proverò a parlare di tutte le sfumature dell'utilizzo dell'autenticazione a due fattori in questo articolo.
Come funziona la verifica in due passaggi/l'autenticazione a due fattori?
Quando accedi al tuo account, non solo devi inserire la password corretta, ma anche inserire un codice aggiuntivo che è stato precedentemente generato o inviato al tuo dispositivo. Questo livello di sicurezza ti consente di sperare che anche se qualcuno ottiene la password del tuo account, non sarà in grado di accedere al profilo senza inserire un codice aggiuntivo.
L'autenticazione a due fattori ha anche ulteriori vantaggi. In caso di tentativo non autorizzato di accedere all'account, riceverai un messaggio e potrai modificare immediatamente la password in modo da non doverti preoccupare che qualcuno possa entrare in possesso dei tuoi dati personali. Inoltre, questo metodo ti consente di proteggerti anche in caso di una massiccia perdita di password quando un servizio viene violato. Gli aggressori non saranno in grado di aggirare l'autenticazione a due fattori.
Leggi anche: 5 semplici consigli: come creare e gestire le password
Cosa posso usare per la verifica in due passaggi?
Per l'autenticazione a due fattori, puoi utilizzare:
- codice ricevuto via e-mail;
- telefonata con conferma;
- smartphone o telefono - codice inviato tramite SMS;
- smartphone o tablet – applicazioni di generazione chiave come Google Authenticator e Microsoft Autenticatore o altre applicazioni per l'autorizzazione mobile, come le applicazioni client delle banche;
- Token OTP (codici monouso);
- una chiave di sicurezza fisica (chiave di sicurezza U2F) collegata a una porta USB (come una chiave di sicurezza Yubico o HyperFIDO).
Ora devo inserire due password ogni volta?
No, non devi farlo ogni volta. Devi capire che dopo aver effettuato l'accesso al computer, puoi aggiungerlo all'elenco dei dispositivi attendibili (ad esempio, se si tratta di un computer di casa). In questo modo, dopo aver eseguito correttamente la verifica in due passaggi, sarai in grado di accedere come al solito utilizzando la tua password.
Ma perché ne ho bisogno se non memorizzo dati importanti nella posta o nei servizi cloud?
Devi essere consapevole dei rischi associati all'hacking del tuo account e-mail, unità di rete, servizi Google o social network come Facebook, Instagram, Twitter o altri.
Diciamo la verità. Hai mai caricato documenti elettronici o uno screenshot di una corrispondenza importante, una dichiarazione dei redditi o anche una copia del tuo passaporto o della tua carta d'identità sui servizi cloud? Se la risposta è no, allora i dati che contengono i servizi web sono sufficienti per rubare la tua identità digitale e usarla per scopi egoistici.
I dati che hai inviato una volta tramite e-mail potrebbero essere ancora nella cartella Posta in arrivo o Posta inviata. Un ladro può persino utilizzare i dati per richiedere un prestito utilizzando i dettagli del tuo passaporto. E questa è solo la punta dell'iceberg, che può portare a tante situazioni spiacevoli che possono costarti caro. L'email hacking non è cosa da poco e non può essere sottovalutata.
Alle persone che svolgono le proprie attività commerciali utilizzando gli strumenti Google, Microsoft або Facebook, un altro problema minaccia: la perdita dell'accesso all'account e la fuga di dati personali possono essere un evento tragico per l'azienda. Questo è già molto peggio in termini di conseguenze finanziarie rispetto alla perdita di dati personali privati.
Perdita di conti Steam, Origin, Epic (che recentemente ha iniziato a richiedere un accesso in due passaggi per ricevere giochi gratuiti), gli account nell'account personale del proprio provider o operatore di telefonia mobile possono anche trasformarsi in conseguenze spiacevoli e una perdita significativa per molti utenti.
Come abilitare l'autenticazione a due fattori?
Tutto quello che devi fare è abilitare la funzione di autenticazione a due fattori nelle impostazioni di una particolare applicazione, sito o servizio web. Il sistema stesso suggerirà le azioni necessarie ed emetterà codici di backup per accedere all'account, se necessario. Salvarli in un luogo sicuro, preferibilmente in forma fisica (stampare o salvare su un file su un supporto esterno).
Se il servizio prevede la verifica in due passaggi, ci saranno sicuramente opzioni per l'invio di codici SMS a un numero di telefono o la conferma con un'applicazione (o un generatore di codici). Alcuni servizi consentono anche l'autenticazione a due fattori utilizzando una chiave fisica FIDO U2F.
Quando ho impostato il mio account ho inserito un numero di telefono per reimpostare la mia password, si tratta di un'autenticazione a due fattori?
Sfortunatamente no. Con la possibilità di recuperare una password aggiungendo un numero di telefono, sarai in grado di recuperare un account (che qualcuno ha violato e modificato la tua password), ma non ti aiuterà a evitare una perdita di dati.
Devo usare questo metodo di identificazione personale, o è meglio passare al sempre più diffuso login senza password?
Per accesso senza password si intende l'accesso utilizzando dati biometrici, ad esempio utilizzando Windows Hello o chiavi fisiche compatibili con lo standard FIDO2. Vale sicuramente la pena prendere in considerazione le chiavi FIDO2 fisiche, ma non useremmo l'accesso solo biometrico senza una protezione aggiuntiva. I dati biometrici possono anche essere divulgati online.
Leggi anche: Che cos'è il Wi-Fi 6 e in che modo è migliore degli standard precedenti
Ad oggi, il metodo più semplice, efficace ed economico è una verifica in due passaggi. Anche la più semplice protezione SMS ti dà più sicurezza rispetto all'accesso con una sola password. App come Google Authenticator sono più affidabili e sicure.
Bene, per gli utenti aziendali che hanno molti segreti aziendali, è meglio utilizzare chiavi U2F fisiche. Ma preparati al fatto che, sebbene siano poco costosi, dovrai portarli sempre con te (di solito le chiavi esistono sotto forma di piccole unità flash USB). Ma tali chiavi di sicurezza forniranno una protezione più affidabile rispetto alle normali password.
Mi sentirò completamente al sicuro con l'accesso in due passaggi?
Questo metodo aumenterà notevolmente la tua sicurezza, ma non tutte le sue opzioni possono essere considerate sicure al 100%. L'accesso in due passaggi è solo una delle tante sfide alla sicurezza digitale, che includono anche la crittografia del traffico di rete e la protezione anti-tracciamento (VPN), la crittografia dei media o semplicemente la comprensione di minacce come phishing.
Leggi anche: Come riconoscere il phishing e come resistervi
Ovviamente, quando utilizzi l'autenticazione a due fattori, dovresti anche ricordare che dovresti essere vigile e attento su Internet, utilizzare password complesse e non scaricare o aprire file e allegati sconosciuti. Ricorda che gli aggressori cercano di sfruttare al meglio le debolezze umane. L'utilizzo dell'autenticazione a due fattori aiuterà a proteggere il più possibile i tuoi dati personali, segreti commerciali e denaro.
Leggi anche: Mobile Google Chrome sotto steroidi: attiva 5 funzioni nascoste
