L’autenticazione digitale ha visto una crescente adozione della cosiddetta 2FA, acronimo di Two Factor Authentication. Questo metodo di autenticazione offre un livello di sicurezza superiore rispetto all’impiego della sola password, grazie all’utilizzo di un secondo fattore di verifica.
Con l’aumento delle minacce informatiche e dei tentativi di accesso non autorizzato, è indispensabile adottare misure di protezione efficaci, capaci di evitare furti di identità e violazioni della privacy.
Autenticazione due fattori: cos’è?
L’autenticazione è un processo che consente di confermare l’identità di un soggetto o di un dispositivo quando cerca di accedere ad un sistema.
Una volta che ci siamo identificati, cioè abbiamo detto al sistema chi siamo, dobbiamo autenticarci, cioè dimostrare che siamo veramente la persona che sosteniamo di essere.
Le forme di autenticazione sono diverse e si va dall’autenticazione a un solo fattore, basata su nome utente e password, alla Multi Factor Authentication (MFA), cioè l’autenticazione a più fattori.
Nell’autenticazione ad un solo fattore con il codice utente dichiariamo chi siamo, mentre con la password andiamo a dimostrare la nostra identità. Anche quando si utilizzano password robuste, cioè lunghe e formate da numeri, lettere e simboli, questa forma di autenticazione è la più debole tra quelle attualmente utilizzabili, perché la sicurezza del nostro account dipende esclusivamente da un solo fattore, cioè la password.
Per questa ragione, generalmente, si opta per un’autenticazione a due fattori.
2FA: cos’è e come funziona
LA 2FA è un metodo di autenticazione che usa due fattori diversi per certificare l’identità di un soggetto: il primo fattore è costituito dalla password, mentre il secondo può essere un codice numerico o anche un fattore di tipo biometrico come l’impronta digitale o il riconoscimento facciale.
L’uso come secondo fattore di un codice numerico, detto OTP, è molto frequente. L’utente può riceverlo mediante un SMS che arriva sul proprio smartphone o attraverso un’applicazione presente sul cellulare. Altre volte il codice numerico viene ottenuto grazie ad un token fisico.
L’OTP è generato in base ad un algoritmo ed è una password usa e getta: OTP, infatti, è l’acronimo di One Time Password. Quindi, una volta che il codice è stato usato per accedere ad un servizio o per effettuare una transazione, non può essere impiegato nuovamente.
Per questa ragione si parla anche di password dinamica in quanto, a differenza di quelle tradizionali dette per l’appunto statiche, l’OTP viene generato solamente all’occorrenza. L’uso di un codice OTP garantisce una maggiore protezione dei nostri account: le password statiche possono essere violate molto più facilmente, tanto più se sono password deboli e non vengono aggiornate con una certa frequenza.
La maggiore sicurezza dei sistemi di autenticazione 2FA sta nel fatto che, anche se la password venisse scoperta, c’è il secondo fattore a proteggere l’account. Inoltre, poiché l’OTP è valido per una sola sessione di accesso o una transazione, anche se un hacker riuscisse a scoprirlo non potrebbe riutilizzarlo.
OTP e TOTP
Una particolare forma di OTP è il TOTP. Il nome stesso ci aiuta a capire qual è caratteristica principale di questo codice: la parte finale dell’acronimo OTP indica la One Time Password, mentre la T iniziale sta per Time Based, cioè “a tempo“.
Quindi la TOTP è una password monouso a tempo.
Questo tipo di password ha una validità limitata ad un arco di tempo brevissimo: in genere dai 15 ai 60 secondi. Passato questo tempo il codice non è più valido.
Il breve tempo di validità del codice aggiunge un ulteriore grado di sicurezza nel processo di autenticazione poiché, un eventuale hacker ha scarse possibilità di scoprire il secondo fattore in un lasso di tempo così breve. Ovviamente, minore è la durata del codice e più diventa difficile violarlo.
Bot HOT
Una persona difficilmente può aggirare gli algoritmi OTP, data la loro validità limitata nel tempo e il numero potenziale di combinazioni di password.
Per questo i cyber criminali, nel tentativo di impossessarsi dei codici monouso, adoperano i Bot OTP, dei programmi che tentano di catturare le One Time Password e di utilizzarle al posto degli utenti.
In genere questi Bot sono usati insiemi a strategie di ingegneria sociale che puntano a sfruttare l’errore umano per portare a frutto l’attacco informatico. Ad esempio, vengono usati siti web di phishing che spingono la vittima a rivelare le proprie credenziali di acceso. I dati ottenuti sono inviati al bot OTP che contatta la vittima cercando di spingerla a comunicare la propria password monouso. Una volta ottenuta, l’hacker tenta di usare le credenziali per accedere all’account, prima della vittima.
I Bot OTP riescono maggiormente nel loro intento quando la password monouso è inviata tramite SMS. Per questa ragione, il NIST (National Institute of Standards and Technology) ne ha sconsigliato l’uso già nel 2016 e, in effetti, oggi, l’autenticazione a più fattori basata su SMS è meno diffusa rispetto alle altre forme.
Sotto questo punto di vista la TOTP è più sicura: il breve lasso di tempo in cui è valida la password consente sì all’utente di digitare le sue credenziali, ma non è sufficiente per comunicarle a terzi e permettere a questi di completare le procedure di autenticazione.
Passkey: liberi dalle password
Ricordare password lunghe e complesse non è affatto facile. Passkey è un sistema di autenticazione che consente di effettuare l’accesso a servizi digitali e ad app senza l’utilizzo di password, impiegando solamente codici e biometria.
Questo sistema prevede che, durante il login, l’autenticazione avvenga dal proprio cellulare, mediante impronta digitale o riconoscimento facciale o immettendo il PIN.
In alternativa, in caso di accesso da computer, l’autenticazione viene fatta inquadrando un codice temporaneo con il proprio smartphone: non è necessario, invece, l’uso di nessuna password. Attraverso la crittografia asimmetrica viene accertata l’identità dell’utente. Il sito web o l’app vedono e archiviano la chiave pubblica dell’utente, mentre la chiave privata segreta viene conservata nel singolo dispositivo.
La tecnologia Passkey offre le stesse garanzie di un’autenticazione a due fattori, ma con l’immediatezza propria dell’uso delle password. Inoltre, essendo un sistema passwordless permette di superare i rischi legati alla scelta, da parte degli utenti, di password deboli, quindi facilmente individuabili, e spesso utilizzate per l’accesso a vari servizi.