2FA: come rendere sicuro il proprio account online

Uno dei metodi più efficaci per impedire ai malintenzionati di accedere ai tuoi account online è pensare ad abilitare quanto prima l’autenticazione a 2 fattori.

Il login tradizionale è poco sicuro

Siamo abituati a fare il login sui siti web o comunque, più in generale, ai vari servizi online che ogni giorno utilizziamo inserendo semplicemente il nostro nome utente, l’email quando necessario e la relativa password.

Senza ulteriori misure di sicurezza è fin troppo semplice per i malintenzionati entrare nel nostro account e fare dei nostri dati tutto quello che vogliono: l’attacco più famoso per rubare le credenziale di accesso è il Pishing dove l’attaccante fa in modo che la vittima finisca su un portale identico a quello ufficiale portandolo ad effettuare lì il login. La soluzione per proteggersi c’è e si chiama autenticazione a due fattori.

2FA: email, password e codice univoco

L’autenticazione a due fattori (chiamata anche 2FA) è la tecnica di login che richiede l’inserimento da parte dell’utente di un codice temporaneo ed univoco (OTP = One Time Password) da ottenere tramite applicazione esterna o sms in aggiunta al normale login con nome utente e password.

Utilizzando questo sistema il malintenzionato si ritrova con delle credenziali funzionanti ma inutilizzabili proprio perché con sé non ha il tuo cellulare o il dispositivo che hai abilitato per la generazione dei codici.

Certo, potrebbero rubarti il telefono o potrebbe essere hackerato il sistema che genera i codici. Sono situazioni che in linea di massima possono accadere dopotutto niente è impossibile.

Un livello di sicurezza aggiuntivo oltre all’OTP è la richiesta di un accessorio che solo noi possediamo come l’inserimento di una smart card o di un particolare tipo di chiavetta usb chiamati Token USB.

Dove si può utilizzare il 2FA?

L’autenticazione a due fattori ormai si può abilitare praticamente ovunque. Le principali piattaforma come Facebook, Twitter, Google, Yahoo ma anche i portali di gioco come Steam ed Epic Games (Player) supportano questo livello aggiuntivo per la protezione degli account dei vari utenti e clienti.

Le banche invece che già utilizzavano questo servizio per controllare che l’accesso ai conti correnti avvenga solo dall’effettivo titolare per effetto della Revised Directive on Payment Services voluta dall’Europa nel 2015, in vigore dal 2019 con scadenza di flessibilità fissata per il 31 Dicembre 2020 dovranno richiede all’utente l’inserimenti di un codice OTP o di un sistema analogo e conferme anche per tutti i pagamenti effettuati online-

In ogni caso questa sicurezza aggiuntiva non dovrebbe né demoralizzare né spaventare. I tempi cambiano, la tecnologia pure ed è per questo che è giusto sensibilizzare l’utente su queste protezioni addizionali.

Cosa mi serve per utilizzare il 2FA?

Per abilitare l’autenticazione a due fattori devi avere con te uno smartphone o un altro dispositivo con Android o iOS (un tablet può andare benissimo). Il codice OTP può arrivare come un normale messaggio sms o tramite una applicazione supportata.

Personalmente ho scelto di utilizzare Authy per la gestione degli account abilitati all’autenticazione a due fattori, in alternativa un’app che offre lo stesso servizio è Google Authenticator ma se devi usarlo solo per i servizi Google per esperienza ti consiglio di scaricare Smart Lock (che però approfondirò solo tra un po’).

Puoi scaricare Authy su tutti i tuoi dispositivi da Windows/MacOS al tablet allo smartphone. Io ti consiglio di scaricarlo solo sul dispositivo mobile principale. Scaricare l’app ovunque limita un po’ il senso dell’autenticazione a due fattori in quanto basta rubare uno solo dei dispositivi per compromettere tutto quanto.

Twilio Authy Authenticator

Price: Free

Google Authenticator

Price: Free

Twilio Authy

Price: Free

Google Authenticator

Price: Free

Le applicazioni funzionano praticamente allo stesso modo, una volta abilitata l’autenticazione a due fattori nel servizio compatibile con le applicazioni di questo tipo basta cercare una stringa da inserire o un codice qr da inquadrare, finito il set-up nell’app vedremo il codice attualmente valido da utilizzare al massimo entro qualche minuto, alla scadenza il sistema ne genererà automaticamente uno nuovo per noi.

Come abilitare l’autenticazione a due fattori su…

Google

1. Accedi alla pagina del tuo account google
2. Nel riquadro di navigazione in alto a sinistra clicca su Sicurezza
3. Da Accesso a Google seleziona “Verifica in due passaggi”
4. Clicca su Inizia
5. Segui le istruzioni a schermo
6. Scegli che sistema utilizzare
   1. Messaggio di Google (consigliato per smartphone Android)
   2. SMS o Telefonata
   3. Token di sicurezza
   4. Codice dell’app Authenticator (se disponibile)
7. Scegli un secondo sistema tra le scelte precedenti come backup
8. Imposta le informazioni di recupero
   1. Email
   2. Telefono
9. Fine.

Facebook

1. Vai sulla pagina delle impostazione di protezione ed accesso
2. Trova “Usa l’autenticazione a due fattori”, clicca su modifica
3. Scegli che sistema utilizzare
   1. Codice di accesso tramite app di terzi
   2. Codice di accesso tramite messaggio sms
4. Segui le istruzioni a schermo
5. Fine.

Twitter

1. Usa il menu laterale, clicca su Impostazioni e Privacy
2. Clicca su Impostazioni dell’account e poi su Sicurezza
3. Clicca su “Autenticazione a due fattori”
4. Scegli che sistema utilizzare:
   1. SMS
   2. App per l’autenticazione
   3. Token di sicurezza
5. Segui le indicazioni a schermo
6. Fine.

Instagram

1. Apri l’app per iOS o Android
2. Vai sul tuo profilo
3. Clicca sull’icona del menu a tre linee orizzontali in alto a destra
4. Clicca su Impostazioni
5. Clicca su Sicurezza
6. Clicca su Autenticazione a due fattori
7. Clicca su inizia
8. Scegli che sistema utilizzare
   1. SMS
   2. App di autenticazione
9. Segui le indicazioni a schermo
10. Fine.

Linkedin

1. Clicca sull’icona “TU” (avatar) nella parte superiore della homepage vista dal desktop
2. Seleziona Impostazioni e Privacy dal menu a discesa
3. Seleziona Account -> Accesso e Sicurezza
4. Clicca su Processo di verifica in due passaggi -> Cambia
5. Scegli il sistema da utilizzare
   1. SMS
   2. App di autenticazione
6. Segui le indicazioni a schermo
7. Fine.

In generale

1. Cerca informazioni sull’autenticazione a due fattori sul centro di assistenza del servizio da te scelto
2. Se il servizio è supportato vai nelle impostazioni del tuo account
3. Nella sezione dove si gestiscono le password dovresti trovare anche delle voci relative all’autenticazione a due fattori
4. Segui le indicazioni a schermo per configurare l’autenticazione a due fattori
   1. Se scegli di ricevere i codici tramite dei messaggi sms dovrai mettere il tuo numero di telefono, aspettare il primo codice e inserirlo per verificare che tutto funzioni perfettamente
   2. Se scegli di utilizzare un’app di autenticazione puoi usare Authy, Google Authenticator o un software compatibile di terzi. Dovrai inserire un codice alfanumerico o inquadrare un codice qr nell’applicazione e inserire per verifica un token valido generato dall’applicazione
   3. Alcuni servizi che dispongono di un’app ufficiale mobile potrebbero supportare nativamente questo servio e quindi, tramite una notifica sullo smartphone è possibile alle volte autenticare questo tipo di login
5. Ricordati di mantenere aggiornate le informazioni di recupero, se non le hai mai inserite imposta un numero di telefono e una mail valida a cui puoi avere facile accesso. In caso di problemi potrai recupera l’accesso al tuo account in questo modo.
6. Dovrebbe essere tutto. Il gestore del tuo servizio potrebbe includere passaggi aggiuntivi e diversi da quanto sopra specificato. Segui dettagliatamente e con attenzione i passaggi forniti dal gestore adattandoli alle tue reali esigenze.

C’è altro oltre al 2FA?

Si, ci sono delle soluzioni ancora più sicure dell’autenticazione a due fattori. Ad esempio in aggiunta al codice temporaneo o in sostituzione ad esso è possibile, per alcuni servizi, richiedere l’inserimento sullo smartphone (tramite accessori o tramite nfc) o sul computer di una smartcard con chip o di una chiavetta di sicurezza avanzata (anche bluetooth) per verificare che l’accesso al servizio sia legittimo.

Google supporta i token su smartphone trasformando il nostro dispositivo come una chiavetta di sicurezza bluetooth grazie a SmartLock.

Dopo l’autenticazione a due fattori esiste l’autenticazione a tre fattori che aggiunge l’identificazione tramite dei dati biometrici come l’inserimento dell’impronta digitale, la scansione dell’iride, la scansione delle vene nella mano e molto altro ancora.