Evitare le password deboli purtroppo non basta. Oltre a generare password forti avvalendosi di un password manager, è necessario proteggere ulteriormente i propri account online attraverso un secondo fattore di autenticazione aggiuntivo.

Log-in (autenticazione): un rapido sguardo al dietro le quinte

Prima di addentrarci nell’argomento, è importante comprendere alcuni concetti fondamentali.

Quando accediamo a un servizio online tramite il nostro account, solitamente vengono utilizzate due funzionalità di sicurezza chiamate identificazione è autenticazione.

Identificazione

L’identificazione è il processo attraverso il quale indichiamo la nostra identità a un sistema. Ad esempio, quando inseriamo l’indirizzo email o il nome utente corrispondente al nostro account nel modulo di accesso di un servizio. Che sia un account di posta, di google, o un qualunque social media non ha importanza. In quel momento ci stiamo identificando al sistema attraverso un’informazione ben precisa.

Simile a quando entriamo fisicamente in una struttura che offre determinati servizi. La prima cosa che facciamo è proprio identificarci alla reception fornendo nome e cognome, codice fiscale o qualsiasi altra informazione identificativa.

Autenticazione

L’autenticazione invece, è l’atto di conferma attraverso la quale il sistema confronta l’informazione appena inserita nel campo password del form, con quella memorizzata all’interno di un database.

Inoltre se il sistema si accerta che quest’ultima è associata all’indirizzo mail fornito nella fase di identificazione, allora confermerà l’identità e vi autenticherà all’interno del vostro account.

La maggior parte dei servizi di oggi dopo aver inserito queste due informazioni invia all’utente un codice di verifica univoco tramite SMS o e-mail, questo codice è da inserire nell’apposito campo. Questo passaggio è fondamentale affinchè il sistema sia ancora più certo della vostra identità.

2FA. Autenticazione a due fattori

Per rafforzare e rendere più sicura la suddetta procedura di autenticazione, è possibile, anzi, è CONSIGLIABILE farlo, avvalersi della 2FA (autenticazione a due fattori). Altresì chiamata autenticazione a più fattori, nel caso in cui entri in gioco una combinazione di più autenticatori che forniscono diversi fattori aggiuntivi.

Di cosa si tratta?

Si tratta di un processo di sicurezza grazie al quale gli utenti rinforzano i propri account fornendo un fattore di autenticazione in più, un controllo di accesso aggiuntivo che verrà richiesto poi in seguito dal servizio o dai servizi su cui si è deciso di attivare la 2fa, soltanto DOPO aver inserito la password corretta.

Riassumendo, dopo aver attivato la 2FA e scelto un qualsiasi fattore aggiuntivo, accade questo:

  1. Mi reco nella sezione login del servizio che mi interessa
  2. Inserisco e-mail e password
  3. Il servizio conferma che le due informazioni siano corrette
  4. Il servizio mi chiede il fattore aggiuntivo configurato da me precedentemente.
  5. Se fornisco anche questo in maniera corretta, allora mi autentica.

La 2FA aumenta il tuo livello di protezione contro i malintenzionati

L’uso dell’autenticazione a più fattori rende altamente improbabile che un malintenzionato sia in grado di fornire tutti i fattori richiesti per l’accesso all’account di qualcun altro (escludendo gli otp tramite SMS, ma ne parleremo dopo).

Nello scenario in cui entrasse in possesso della tua password principale, non potrebbe comunque portare a termine la violazione a meno che non abbia anche il tuo, oppure i tuoi, fattori di autenticazione aggiuntivi.

La 2FA nel mondo reale

La 2fa non si limita solo agli account online. Questo tipo di autenticazione, infatti, può essere anche implementata per rafforzare l’accesso ad un dispositivo fisico come uno smartphone, un computer, una cassaforte, un ATM adibito al prelievo. Ma anche porte, cancelli, e addirittura automobili come tesla.

Quali sono i fattori di sicurezza aggiuntivi?

Per comprendere meglio il concetto bisogna fare un po’ di ordine e capire attraverso un piccolo schema di appartenenza in quali categorie vengono catalogati i vari fattori di sicurezza aggiuntivi. Immaginiamo quindi l’esistenza di tre famiglie, tre macro categorie, all’interno delle quali collocare vari tipi di fattori in modo da poterli distinguere.

Prima categoria: una caratteristica fisica

La prima categoria è legata fondamentalmente al tuo corpo. Ci trovi dentro tutti i tipi di autenticazione biometrica. In questo caso il secondo fattore aggiuntivo richiesto dopo l’inserimento della password per confermare l’identità e accedere a un account, sarà ad esempio una scansione del viso, della retina, dell’iride, del timbro vocale, dell’impronta digitale. laddove ovviamente sia disponibile l’hardware per poterlo fare.

Lo scenario dell’accesso biometrico è molto comune soprattutto al giorno d’oggi. Un esempio, gli smartphone. Tant’è che per sbloccare lo schermo le persone utilizzano, generalmente, proprio uno di questi metodi. Il problema però è che nella maggior parte dei casi, in questo contesto, funge da SINGOLO fattore, in quanto per una questione di rapidità di sblocco e per comodità, gli utenti non impostano due o più fattori di autenticazione soltanto per sbloccare lo schermo. In certi casi ha i suoi grossi rischi, dipende sempre dal modello di minaccia della singola persona.

Tutti i servizi che rendono disponibile questo tipo di autenticazione biometrica, implementano le singole funzionalità sfruttando sia l’hardware che il software messo a disposizione dal sistema operartivo di uno specifico dispositivo. Windows Hello nel caso di Windows, Howdy nel caso di Linux, touch id e face id per apple, ecc…

Seconda categoria: un oggetto fisico

La seconda categoria è legata a tutti i cosiddetti token hardware. Sono quei dispositivi adibiti alla 2FA da portare sempre con sè. Smartcard, chiavette usb, ecc… Un esempio lampante e anche conosciuto sono le yubikey.

Queste chiavette andranno a contenere al loro interno tutte le chiavi segrete che i vari servizi online condivideranno con loro.

Importante: saranno archiviate al loro interno in maniera sicura. Non potranno nè essere estrapolate nè esportate. Quindi occhio a non perderle. Senza il token hardware non potrete generare alcun tipo di codice monouso, o in generale non potrete usufruire di nessun protocollo 2fa messo a disposizione.

E siccome è un dispositivo creato appositamente in sola scrittura e molto ben protetto, non esiste la possibilità di effettuare il backup delle chiavi segrete custodite al suo interno. L’unico modo per avere un “backup” in caso di furto o smarrimento, è comprarne almeno due, tenendone una da parte ben conservata in caso di problemi.

Cosa succede se mi viene rubato il token hardware? Una delle prime operazioni da fare obbligatoriamente dopo l’acquisto è proprio proteggerla con una password. In questo modo, in caso di furto, il malintenzionato non potrà fare nulla.

Yubikey, OTP e altri protocolli supportati

Le yubikey supportano molteplici protocolli di autenticazione e un ampia gamma di fattori, come i classici codici OTP (one time password) usati anche dalle app di 2fa più usate e conosciute, principalmente mediante gli algoritmi HTOP e TOTP.

OTP sta per one time password. Sono codici monouso a scadenza rapida generati ogni volta in maniera casuale e inviati tramite un oggetto che l’utente porta con sé, come il suo cellulare, mediante l’ausilio di apposite app o mediante una chiavetta di sicurezza, come la yubikey.

La particolarità delle yubikey rispetto alle APP per smartphone specifiche per 2FA, sta nel fatto che al momento del login verrà generato un OTP e inviato al servizio interessato in maniera del tutto automatica, semplicemente toccando quest’ultima dopo averla collegata nella porta usb al computer.

lo scenario è più o meno questo, premesso che un servizio preveda la possibilità di aggiungere un token hardware come metodo di autenticazione aggiuntivo, cosa assolutamente non scontata:

Dopo aver inserito la mail e la password, su richiesta del servizio inserisco la mia yubikey in una porta usb. E qui accade la magia. Mi basterà semplicemente toccarla e in automatico provvederà ad autenticarmi all’interno dell’account.

Nel caso invece dei codici monouso generati e inviati via sms o app andranno inseriti manualmente.

Altri protocolli supportati dalle yubikey sono openPGP, smarcard PIV, FIDO2, FIDO/U2F.

Insomma, con un unico dispositivo si possono avere svariate funzionalità di sicurezza interessanti.

Anche lo smartphone rientra nei token hardware, e tra non molto capiremo il perchè.

In questa seconda categoria che comprende “gli oggetti fisici” ci troviamo anche i token software, ovvero delle app appositamente sviluppate per l’autenticazione a due fattori come google authenticator, authy, aegis, lastpass, ecc..

Una volta installate e configurate opportunamente, si legano, previa configurazione attraverso una procedura iniziale sui vari servizi, univocamente allo smartphone. Dopodichè, attraverso alcuni algoritmi come HOTP e TOTP viene generata la classica OTP essenziale per poter accedere negli account ai quali è stata attivata la 2fa con questo metodo.

Questo legame tecnicamente avviene tramite richiesta da parte del sistema che durante la configurazione di un metodo di autenticazione aggiuntivo, vi inviterà a scansionare un QR CODE tramite una connessione sicura. come se fosse una stretta di mano tra il server del servizio e il vostro cellulare. Una specie di voto infrangibile.

La 2FA viene ampiamente utilizzata anche dalle banche. Per poter usufruire dei loro servizi o per poter svolgere le varie operazioni devi obbligatoriamente, e giustamente, installare la loro applicazione proprietaria 2fa che provvederà a generare i codici monouso da inserire ogni volta.

Seconda categoria: un segreto. Qualcosa che conosci

Nella terza categoria ci troviamo diversi tipi di autenticazione, tra cui sicuramente password o passphrase che già conosciamo e utilizziamo praticamente sempre. Ma anche un PIN che protegge uno smartphone o una carta di credito, usata ad esempio per svolgere operazioni sugli sportelli automatici, gli ATM in sostanza. Oppure dei codici generati attraverso il protocollo OTP e inviati, ma attenzione, stavolta tramite SMS. Siccome l’sms non è legato univocamente allo smartphone nè a qualsiasi altro dispositivo, non può essere compreso nella seconda categoria relativa a qualcosa che hai.

La 2FA tramite OTP inviati per SMS, è sconsigliata!

Il protocollo SMS è vulnerabile ad attacchi come il sim swapping, sim jacking, e MITM. Motivo per il quale se ne sconsiglia caldamente l’utilizzo.

Come abilitare la 2FA?

Dipende dai servizi. Prima assicurati che i servizi da te utilizzati supportino la 2fa, anche se nella maggior parte la risposta è positiva. Dopodichè, ogni servizio ha la sua opzione da attivare nelle impostazioni di sicurezza. Sarebbe difficile fare un elenco esaustivo di come attivare la 2fa per ogni servizio che la supporti.

Tuttavia, c’è da considerare che piattaforme diverse a volte chiamano la 2FA in maniera diversa dalle altre, rendendola spesso difficile da trovare ai neofiti. Tipo approvazione degli accessi, verifica in due passaggi, ecc…

Quale applicazione scegliere?

Esistono tantissime app relative alla 2fa. Non posso dirti quale utilizzare, posso però proportene alcune, poi sarai tu ad esplorare e a scegliere quella giusta per le tue esigenze.

Google Authenticator

Google authenticator, se non vuoi complicarti la vita e utilizzare qualcosa di popolare con abbastanza supporto online. E’ disponibile SOLO per smartphone. Non prevede backup, quindi niente possibilità di importare i token su altri dispositivi di vostra proprietà. Se in futuro doveste cambiate telefono, dovrete effettuare manualmente il cambio su tutti i servizi sui quali avete attivato la 2fa mediante google authenticator.

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

Authy

l’app che di solito consiglio e che a mio avviso fornisce il giusto compromesso tra sicurezza e usabilità per gran parte degli utenti, è authy. É cloud based, e supporta la Sincronizzazione 2FA su dispositivi mobili, tablet e desktop. Mette anche a disposizione una funzione di backup in caso di smarrimento del telefono.

direttamente dal loro sito:

" Criptiamo i tuoi dati e decrittografiamo solo sui dispositivi utilizzando una password che solo tu conosci. (e non deve dimenticare!) "

“Per tua comodità authy può archiviare una copia crittografata dei tuoi account nel cloud. L’account viene crittografato/decrittografato direttamente nel tuo smartphone, quindi né authy né nessun altro hanno accesso ai tuoi account.

https://authy.com/

Aegis

Rispetto alle due appena citate questa app è open source. Permette anch’essa i backup delle chiavi crittografiche, ma non su un cloud. Sarai tu a scegliere la posizione del backup, che sia offline o su un tuo spazio cloud.

https://getaegis.app/

Codici di backup

Ogni servizio che offre l’autenticazione a più fattori, durante la fase di configurazione fornisce all’utente dei codici di backup molto lunghi e complessi, da considerare come ultima spiaggia per poter recuperare l’accesso all’account in caso di smarrimento dei fattori aggiuntivi.

Non ignorate questi codici. Segnateli e conservateli al sicuro, magari in una partizione crittografata. Potete anche stamparli, purchè però li conserviate in un luogo fisicamente sicuro accessibile solo da voi. Una cassaforte sarebbe l’ideale!

In conclusione

Vi invito caldamente ad adottare questa strategia per ogni vostro account, ovunque sia possibile.