Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?
Sempre più banche, società di carte di credito e persino reti di social media e siti di giochi stanno iniziando a utilizzare l'autenticazione a due fattori. Se sei poco chiaro su cosa sia o sul perché vorresti iniziare a usarlo, continua a leggere per sapere in che modo l'autenticazione a due fattori può proteggere i tuoi dati.
Che cosa è esattamente l'autenticazione a due fattori?
How-To Geek reader Jordan scrive con una domanda semplice:
Sto sentendo sempre di più sull'autenticazione a due fattori. Ricordo vagamente che Google ha fatto un grosso problema a riguardo l'anno scorso, la mia banca ha recentemente offerto un key key gratuito per i clienti stimati, e il mio compagno di stanza ha persino una sorta di app sul suo telefono per impedire che il suo account Diablo III venga hackerato. Ho capito che si tratta di una sorta di strumento di sicurezza, ma che cosa è esattamente e dovrei usarlo?
Per capire quale sia l'autenticazione a due fattori, esaminiamo innanzitutto l'autenticazione a un fattore e confrontiamola con i modelli di sicurezza reali e virtuali.
Quando torni a casa dal lavoro, estrai le chiavi e apri la porta posteriore, ti stai impegnando in una semplice autenticazione a un fattore. Alla porta e al gruppo serratura non interessa se la persona che detiene la chiave è tu, il tuo vicino o un criminale che ha sollevato le tue chiavi. L'unica cosa di cui si preoccupa la serratura è che la chiave si adatta (non hai bisogno di due chiavi, una chiave e un'impronta digitale, o qualsiasi altra combinazione di controlli). La chiave fisica è l'unica conferma che la persona che la brandisce è autorizzata ad aprire la porta.
Lo stesso livello di autenticazione a un fattore si verifica quando si accede a un sito Web o servizio che richiede semplicemente il login e la password. Colleghi queste informazioni ed esiste come unico controllo che sei, in effetti, tu.
Supponendo che nessuno rubi mai le tue chiavi o crei / rubi la tua password, sei in buona forma. Mentre le chiavi rubate sono un rischio piuttosto basso, la sicurezza virtuale è più complessa (e contrariamente alle violazioni della sicurezza online. Ad esempio, il gestore del complesso di appartamenti non copierà mai tutte le chiavi e lascerà loro il tuo nome e indirizzo su un angolo di strada ).
Violazioni della sicurezza, attacchi sofisticati e altri aspetti sfortunati ma troppo reali del lavorare e giocare in uno spazio virtuale richiedono pratiche di sicurezza migliorate che includono password complesse multiple e diverse e, quando disponibile, autenticazione a due fattori.
Che cos'è l'autenticazione a due fattori e che aspetto ha per te, l'utente finale? Al minimo l'autenticazione a due fattori richiede due su tre variabili di autenticazione approvate dalla normativa quali:
- Qualcosa che conosci (come il PIN sulla tua carta di credito o la tua password di posta elettronica).
- Qualcosa che hai (la carta bancaria fisica o un token di autenticazione).
- Qualcosa che sei (la biometria come la tua impronta digitale o il motivo dell'iride).
Se hai mai usato una carta di debito, hai utilizzato una semplice forma di autenticazione a due fattori: non è sufficiente conoscere il PIN o avere fisicamente la carta, devi possederli entrambi per accedere al tuo conto bancario tramite il bancomat.
L'autenticazione a due fattori può assumere una varietà di forme e soddisfare comunque i requisiti 2-3. Ci può essere un gettone fisico, come quelli ampiamente usati nel settore bancario, dove viene generato un codice over-the-air per te. Per accedere è necessario il nome utente, la password e il codice univoco (scaduto ogni 30 secondi circa). Altre società ignorano il percorso dell'hardware personalizzato e forniscono app per telefoni cellulari (o codici forniti tramite SMS) che forniscono la stessa funzionalità. Anche se non particolarmente comune, è possibile utilizzare l'autenticazione a due fattori basata su dati biometrici (come la sicurezza di un file crittografato tramite password e impronta digitale).
Perché dovrei usarlo e dove posso trovarlo?
Ogni volta che si introduce un ulteriore livello nella propria routine di sicurezza, è sempre necessario chiedersi se la seccatura è meritata. L'autenticazione a più fattori per un forum di discussione su muscle car che non contiene informazioni personali e non è in alcun modo collegato alla tua vera e-mail o alle informazioni finanziarie è ovviamente eccessivo. Avere un secondo livello di autenticazione per la carta di credito o l'account di posta elettronica principale, tuttavia, è solo pratico: il trauma personale e finanziario che deriverebbe da un ladro di identità o da un'altra entità malvagia che ha accesso a queste cose supera di gran lunga il fastidio minore di immettere un un po 'di informazioni in più.
Ogni volta che un'autenticazione a due fattori è disponibile per un sistema e quel sistema che viene compromesso ti causerebbe una sofferenza significativa, dovresti abilitarlo. Avere la tua e-mail compromessa ti apre agli altri servizi che vengono compromessi come server di posta elettronica come una sorta di chiave principale per l'accesso alle reimpostazioni di password e altre richieste. Se la tua banca fornisce un autenticatore mobile o un altro strumento, approfittane. Anche per cose come i tuoi compagni di stanza, i giocatori di Diablo III trascorrono centinaia di ore a costruire i loro personaggi e spesso spendono soldi veri acquistando beni di gioco, perdendo tutto quel lavoro e gli attrezzi è una proposta terribile, schiaffo un autenticatore sul tuo account!
Sfortunatamente, non tutti i servizi offrono l'autenticazione a due fattori. Il modo migliore per scoprirlo è scavare attraverso le FAQ / file di supporto e / o contattare il personale di supporto per il servizio in questione. Detto questo, molte aziende parlano dell'adozione di schemi di autenticazione a più fattori.
Google ha l'autenticazione a due fattori sia per gli SMS che con una comoda app mobile: leggi la nostra guida sull'installazione e la configurazione dell'app mobile qui.
LastPass offre molteplici forme di autenticazione a più fattori, incluso l'utilizzo di Google Authenticator. Abbiamo una guida per configurarlo qui.
Facebook ha un sistema a due fattori chiamato "login approvazioni" che utilizza SMS per confermare la tua identità.
SpiderOak, un servizio di archiviazione simile a Dropbox, offre l'autenticazione a due fattori.
Blizzard, la compagnia dietro a giochi come World of War Craft e Diablo, ha un autenticatore gratuito.
Anche se sembra che, in base alla lettura del file delle FAQ della società in questione, non dispongano dell'autenticazione a due fattori, spara loro una e-mail e chiedi. Più persone chiedono informazioni su due fattori, maggiore è la possibilità che l'azienda lo implementa.
Mentre l'autenticazione a due fattori non è invulnerabile all'attacco (un sofisticato attacco man-in-the-middle o qualcuno che ruba il tuo token di autenticazione secondario e picchiandoti con una pipa potrebbe spezzarla), è radicalmente più sicuro che fare affidamento su una normale password e semplicemente avere un sistema a due fattori attivato ti rende un obiettivo molto meno avvincente.
Conosci un servizio, grande o piccolo, che offre l'autenticazione a due fattori? Sound off nei commenti per avvisare i tuoi compagni lettori.