Homepage » come » Le diverse forme di autenticazione a due fattori SMS, Autheticator Apps e altro

    Le diverse forme di autenticazione a due fattori SMS, Autheticator Apps e altro

    Molti servizi online offrono l'autenticazione a due fattori, che migliora la sicurezza richiedendo più di una semplice password per accedere. Esistono molti diversi tipi di metodi di autenticazione aggiuntivi che è possibile utilizzare.

    Diversi servizi offrono diversi metodi di autenticazione a due fattori e, in alcuni casi, è anche possibile scegliere tra diverse opzioni. Ecco come funzionano e come si differenziano.

    Verifica SMS

    Molti servizi ti consentono di registrarti per ricevere un messaggio SMS ogni volta che accedi al tuo account. Quel messaggio SMS conterrà un breve codice usa e getta che dovrai inserire. Con questo sistema, il tuo cellulare viene utilizzato come secondo metodo di autenticazione. Qualcuno non può entrare nel tuo account solo se ha la tua password: ha bisogno della tua password e dell'accesso al tuo telefono o ai suoi messaggi SMS.

    Questo è conveniente, in quanto non è necessario fare nulla di speciale e la maggior parte delle persone ha un telefono cellulare. Alcuni servizi compongono anche un numero di telefono e un sistema automatico parla un codice, permettendoti di usarlo con un numero di telefono fisso che non può ricevere messaggi di testo.

    Tuttavia, ci sono grossi problemi con la verifica SMS. Gli aggressori possono utilizzare gli attacchi di scambio di SIM per accedere ai tuoi codici protetti o intercettarli grazie a falle nella rete cellulare. Si consiglia di non utilizzare messaggi SMS, se possibile. Tuttavia, i messaggi SMS sono ancora molto più sicuri di quelli che non utilizzano affatto l'autenticazione a due fattori!

    Codici generati da app (come Google Authenticator e Authy)

    Puoi anche avere i tuoi codici generati da un'app sul tuo telefono. L'app più conosciuta che fa questo è Google Authenticator, che Google offre per Android e iPhone. Tuttavia, preferiamo Authy, che fa tutto ciò che fa Google Authenticator e molto altro. Nonostante il nome, queste app utilizzano uno standard aperto. Ad esempio, è possibile aggiungere account Microsoft e molti altri tipi di account all'app Google Authenticator.

    Installa l'app, esegui la scansione del codice quando imposti un nuovo account e quell'applicazione genererà nuovi codici circa ogni 30 secondi. Dovrai inserire il codice corrente visualizzato nell'app sul telefono e la password quando accedi a un account.

    Questo non richiede affatto un segnale cellulare e il "seed" che consente all'app di generare quei codici a tempo limitato è memorizzato solo sul tuo dispositivo. Ciò significa che è molto più sicuro, in quanto anche chi accede al tuo numero di telefono o intercetta i tuoi messaggi di testo non conoscerà i tuoi codici.

    Alcuni servizi, ad esempio Battle.net Authenticator di Blizzard, hanno anche le loro app dedicate per la creazione di codice.

    Chiavi di autenticazione fisica

    Le chiavi di autenticazione fisica sono un'altra opzione che sta iniziando a diventare più popolare. Le grandi aziende del settore tecnologico e finanziario stanno creando uno standard noto come U2F, ed è già possibile utilizzare un token U2F fisico per proteggere i tuoi account Google, Dropbox e GitHub. Questa è solo una piccola chiave USB che metti sul tuo portachiavi. Ogni volta che si desidera accedere al proprio account da un nuovo computer, è necessario inserire la chiave USB e premere un pulsante su di esso. È così: nessun codice di battitura. In futuro, questi dispositivi dovrebbero funzionare con NFC e Bluetooth per comunicare con dispositivi mobili senza porte USB.

    Questa soluzione funziona meglio della verifica SMS e dei codici monouso perché non può essere intercettata e incasinata. È anche più semplice e più comodo da usare. Ad esempio, un sito di phishing potrebbe mostrarti una falsa pagina di accesso di Google e acquisire il tuo codice monouso quando tenti di accedere. Potrebbero quindi utilizzare quel codice per accedere a Google. Ma con una chiave di autenticazione fisica che funziona di concerto con il tuo browser, il browser può garantire che stia comunicando con il sito web reale e il codice non possa essere catturato da un utente malintenzionato.

    Aspettatevi di vederne molti di più in futuro.

    Autenticazione basata su app

    Alcune app mobili possono fornire l'autenticazione a due fattori utilizzando l'app stessa. Ad esempio, Google ora offre un'autenticazione a due fattori senza codice finché l'app Google è installata sul telefono. Ogni volta che si tenta di accedere a Google da un altro computer o dispositivo, è sufficiente toccare un pulsante sul telefono, non è richiesto alcun codice. Google sta verificando che tu abbia accesso al tuo telefono prima di provare ad accedere.

    La verifica in due passaggi di Apple funziona in modo simile, sebbene non utilizzi un'app: utilizza il sistema operativo iOS stesso. Ogni volta che si tenta di accedere da un nuovo dispositivo, è possibile ricevere un codice monouso inviato a un dispositivo registrato, come il proprio iPhone o iPad. L'app mobile di Twitter ha una funzione simile chiamata verifica dell'accesso. E Google e Microsoft hanno aggiunto questa funzione alle app per smartphone Google e Microsoft Authenticator.

    Sistemi basati su email

    Altri servizi si basano sul tuo account di posta elettronica per autenticarti. Ad esempio, se abiliti Steam Guard, Steam ti chiederà di inserire un codice monouso inviato alla tua posta ogni volta che accedi da un nuovo computer. Ciò garantisce almeno che un utente malintenzionato abbia bisogno sia della password dell'account Steam sia dell'accesso al proprio account e-mail per accedere a tale account.

    Questo non è sicuro come altri metodi di verifica in due passaggi, in quanto può essere facile per qualcuno accedere al tuo account di posta elettronica, soprattutto se non stai utilizzando la verifica in due passaggi su di esso! Evita la verifica tramite e-mail se puoi usare qualcosa di più forte. (Per fortuna, Steam offre un'autenticazione basata sull'app sulla sua app mobile.)

    The Last Resort: Recovery Code

    I codici di ripristino forniscono una rete di sicurezza in caso di perdita del metodo di autenticazione a due fattori. Quando si imposta l'autenticazione a due fattori, di solito vengono forniti i codici di ripristino che è necessario annotare e archiviare in un luogo sicuro. Ne avrai bisogno se perdi il tuo metodo di verifica in due passaggi.

    Assicurati di avere una copia dei tuoi codici di ripristino da qualche parte se utilizzi l'autenticazione in due passaggi.


    Non troverai molte opzioni per ciascuno dei tuoi account. Tuttavia, molti servizi offrono più metodi di verifica in due passaggi tra cui scegliere.

    C'è anche la possibilità di utilizzare più metodi di autenticazione a due fattori. Ad esempio, se imposti sia un'app di generazione del codice che una chiave di sicurezza fisica, puoi accedere al tuo account tramite l'app se perdi la chiave fisica.