Perché è necessaria l'autenticazione a due fattori?
I sistemi di autenticazione tradizionali basati su password sono vulnerabili agli attacchi di phishing e all'uso di password deboli o riutilizzate. Poiché molti sistemi possono essere accessibili da qualsiasi punto di Internet, una password compromessa consente a un aggressore di ottenere un accesso non autorizzato a un account utente.
L'autenticazione a due fattori - chiamata anche verifica in due passaggi - è progettata per aggiungere un ulteriore livello di protezione agli account utente. Invece di richiedere solo una password per l'autenticazione, l'accesso a un account abilitato al 2FA richiede all'utente di presentare anche un fattore aggiuntivo.
Cosa sono i fattori di autenticazione?
I fattori di autenticazione sono suddivisi in tre categorie:
- Qualcosa che conosce: Un esempio di fattore che è "qualcosa che si conosce" è una password o la risposta a una domanda di sicurezza (come quelle utilizzate per la reimpostazione della password).
- Qualcosa di cui dispone: Qualcosa di cui dispone può essere uno smartphone o un dispositivo di autenticazione fisico come una smartcard o Yubikey. Questi dispositivi possono generare o ricevere codici di accesso unici che possono essere inseriti in una pagina di autenticazione.
- Qualcosa che lei è: I fattori "Qualcosa che sei" utilizzano l'autenticazione biometrica. Ad esempio, un utente potrebbe dover sottoporsi a un'impronta digitale, a un'impronta vocale o a una scansione dell'iride per accedere a qualcosa.
Idealmente, un sistema 2FA dovrebbe incorporare due diversi tipi di fattori. Altrimenti, l'uso di due fattori dello stesso tipo, come ad esempio due fattori "qualcosa che conosce", rischia di compromettere entrambi contemporaneamente. Ad esempio, due fattori basati sulla conoscenza (come una password e una domanda di sicurezza) potrebbero essere compromessi in un attacco di phishing, mentre due fattori fisici (come uno smartphone e una chiave USB) potrebbero essere rubati da un borseggiatore.
Una combinazione comune è l'utilizzo di un fattore basato sulla conoscenza e di un fattore fisico. Ad esempio, un utente può dover fornire una password e inserire una smartcard o una chiave USB in un computer o toccare un pulsante di conferma sul proprio smartphone. I fattori biometrici sono meno utilizzati perché sono più difficili da creare (gli scanner delle impronte digitali e del viso degli smartphone sono stati sconfitti più volte) e sono difficili da modificare se compromessi. Mettiamola così: è facile cambiare la password, ma è molto più difficile cambiare le impronte digitali o la retina.
Come funziona l'autenticazione a due fattori (2FA)?
Il 2FA funziona presentando all'utente una pagina di login che richiede più richieste di inserimento. In genere, si tratta della richiesta di una password e di un codice di accesso unico.
Questo codice di accesso unico può essere acquisito in diversi modi. Un'opzione comune è l'invio di un SMS o di un'e-mail. Tuttavia, questo approccio è meno sicuro perché è vulnerabile all'intercettazione o agli attacchi di SIM-swap.
Un'opzione più sicura è un algoritmo di password unica basata sul tempo (TOTP), come quelli utilizzati in molte applicazioni per smartphone. Durante la configurazione, il dispositivo di autenticazione (smartphone, chiave USB, ecc.) condivide un valore seme casuale segreto. Sia il server che il dispositivo di autenticazione utilizzano poi un algoritmo comune per trasformare questo seme nel tempo. Ciò significa che, in qualsiasi momento, concordano sulla versione di questo valore.
Se un utente tenta di accedere a un servizio, fornisce il valore attuale fornito dal suo dispositivo di autenticazione al sito, che lo confronta con il suo valore attuale e autorizza la connessione se corrispondono. Tuttavia, lo spazio dei valori possibili è abbastanza ampio da rendere estremamente improbabile che un aggressore riesca a indovinare il codice corretto mentre è ancora valido.
Come impostare l'Autenticazione a due fattori (2FA)
Negli ultimi anni, l'uso dell'autenticazione a due fattori è cresciuto notevolmente in popolarità. Di conseguenza, molti siti importanti e la maggior parte dei siti che contengono ed elaborano dati sensibili avranno un supporto integrato per l'autenticazione a più fattori. In alcuni casi, un sito può spingere all'uso dell'autenticazione a più fattori, presentando un pop-up che guida l'utente attraverso il processo. In altri casi, potrebbe essere necessario visitare la pagina delle impostazioni dell'account o del profilo per impostare il 2FA.
I dettagli dell'impostazione del 2FA dipendono dal tipo utilizzato. Per il 2FA basato su SMS o e-mail, l'unico requisito di configurazione è fornire un numero di telefono o un indirizzo e-mail a cui inviare i codici. Per il 2FA basato su TOTP, potrebbe essere necessaria l'installazione di un'applicazione autenticatore (come Authy o Google Authenticator) o l'utilizzo di una chiave di sicurezza basata su USB.
2FA per le aziende
L'autenticazione a due fattori non è vantaggiosa solo per i consumatori. L'abilitazione del 2FA per l'accesso alle risorse aziendali può aiutare a proteggere dall'impatto di password utente compromesse, soprattutto in questo mondo di lavoro remoto.
Check Point offre soluzioni semplici per implementare la 2FA in tutta la sua organizzazione. Questo include il supporto per l'accesso remoto sicuro e Secure Access Service Edge (SASE). Per vedere le soluzioni Check Point in azione, richieda una dimostrazione.
Feedback