Da quando il mondo è sempre più connesso, sono cresciuti i tentativi di hacking non solo verso aziende e imprese ma anche ai danni di utenti semplici. Il motivo? I nostri account social possono raccontare a un hacker o un ladro più di quanto crediamo, fornendo informazioni specifiche su quando si esce di casa, quali sono i percorsi che si effettuano ogni giorno di routine o i momenti in cui si è lontani per tanto tempo dall’abitazione.
Ma non solo: più di una persona conserva su servizi cloud foto e contenuti digitali estremamente sensibili, che possono diventare motivo di riscatto economico da parte dei cyber-criminali. Non parliamo poi dei conti in banca, del rischio che ingenti somme di denaro vengano trasferite a nostra insaputa o di acquisti online fatti con la carta di credito intestata a chi non se lo aspettava proprio. Insomma, urge una forma di protezione migliore nei confronti dei pericoli della rete e tale protezione può arrivare dalla verifica a due fattori.
Di cosa si tratta
L’autenticazione a due fattori (2FA), nota anche come verifica in due passaggi o autenticazione multifattoriale, è ampiamente utilizzata per aggiungere un livello di sicurezza agli account online. La forma più comune avviene quando, per accedere a un profilo, si richiede l’inserimento di un codice temporaneo ricevuto via sms sul cellulare. In questo caso, nessuno che non abbia possibilità di intercettare il messaggio può concretamente violare l’identità dell’interessato. Esistono tre livelli di autenticazione: alfanumerica, dispositivo, biometrica.
I metodi di accesso
Nel primo caso, si entra nel profilo col suddetto codice ricevuto sul telefonino immesso in fase di registrazione. Nel secondo, viene richiesta un’azione sullo smartphone personale, ad esempio l’accettazione di una notifica. Nell’ultimo, l’accesso è abilitato con una verifica individuale, che si tratti della lettura del dito, la scansione del volto o il riconoscimento vocale. In ogni caso, si parla di verifica a due fattori proprio per questo motivo: il primo step è l’inserimento della password abituale, il secondo prevede un passaggio ulteriore come livello aggiuntivo di sicurezza.
In realtà, esiste una strada alternativa alle tre opzioni elencate in precedenza: l’app o la key generatrice di codici. In origine messa a disposizione dei propri clienti dagli istituti bancari, la chiavetta generatrice di codici mostra una sequenza alfanumerica da inserire nel campo di richiesta prima di un’operazione. Il metodo è stato integrato da altri servizi, tanto che oggi anche i principali social network e piattaforme di email permettono di usare una chiave con display che visualizza una stringa temporanea.
La stessa viene parzialmente sostituita da un’app, come Google Authenticator, Authy e DuoMobile, che svolge lo stesso compito ma esclusivamente in digitale. L’utilizzo di un’app di autenticazione richiede un setup extra ma offre una protezione migliore rispetto agli sms. Gli ultimi aggiornamenti vanno anche oltre l’inserimento di un codice, visto che basta creare una password personale per abilitare l’accesso al servizio. A differenza di quella classica, la password deve essere digitata dal telefonino registrato e non da un qualsiasi utente in giro per il mondo. Anche i più pigri dunque potranno trovare nel metodo 2FA uno strumento utile per rendere la vita agli hacker più difficile, se non impossibile.
È davvero più sicura?
Facciamo un esempio concreto. Se si dispone di un sistema di sicurezza domestica, si riducono le probabilità di un furto. Se si ha un cane forte e grosso, si riducono le probabilità di un furto. Se si combina un sistema di sicurezza con un grosso cane, la casa diventa ancora più difficile da penetrare e un bersaglio meno attraente. La maggior parte dei ladri cercherà infatti una vittima più semplice, meno protetta. Allo stesso modo, l’autenticazione a due fattori impedisce a tanti hacker di violare il vostro account: molti si impegneranno per farlo e, non riuscendoci nell’immediato, passeranno altrove.
Oltre alla vostra password, per ottenere l’ingresso un cyber-criminale dovrebbe avere anche accesso al telefono, ai token inviati via sms o alle notifiche in tempo reale. Non è impossibile, perché l’intruso potrebbe rubare anche il cellulare ed è per questo che bisogna mantenere sempre l’attenzione alta, sia nel mondo digitale che in quello reale.
