Nel mondo iperconnesso di oggi, le violazioni di dati e gli account compromessi sono più comuni di quanto vorremmo ammettere. Sia per le grandi imprese che per le piccole startup, affidarsi a un solo livello di sicurezza – di solito, le password – è un po' come chiudere a chiave il portone d'ingresso, lasciando però le finestre spalancate. Per ovviare al problema esistono l'autenticazione a due fattori (2FA) e la verifica in due passaggi (2SV), che rappresentano livelli di sicurezza aggiuntivi per gli account. Ma in cosa differiscono, all'atto pratico, e quale è opportuno scegliere? In questo articolo confronteremo nel dettaglio la verifica in due passaggi e l'autenticazione a due fattori, così potrai prendere una decisione informata per migliorare il livello di sicurezza della tua azienda.
Contenuti:
- Cos'è l'autenticazione a due fattori (2FA)?
- I vantaggi dell'autenticazione 2FA
- I limiti del metodo 2FA
- Esempi di 2FA
- Cos'è la verifica in due passaggi (2SV)?
- I vantaggi del metodo 2SV
- I limiti del metodo 2SV
- Esempi di 2SV
- In cosa differiscono i metodi 2FA e 2SV?
- Perché è fondamentale usare più di un metodo di sicurezza per proteggere i propri account?
Cos'è l'autenticazione a due fattori (2FA)?
L'autenticazione a due fattori (2FA) è una procedura di sicurezza che aggiunge un ulteriore livello di protezione agli accessi. Anziché fare affidamento su un solo dato per l'autenticazione, come ad esempio una password, il metodo 2FA richiede due fattori distinti per confermare la tua effettiva identità. Questa procedura può quindi ridurre in modo significativo il rischio di accessi non autorizzati, anche nell'eventualità in cui un criminale informatico fosse riuscito a rubare il tuo nome utente e la password. I fattori sono classificati in tre grandi categorie:
Conoscenza: qualcosa che solo tu conosci, come una password, un PIN o la risposta a una domanda segreta.
Possesso: qualcosa che solo tu possiedi, come il tuo smartphone, una chiavetta USB sicura, ecc.
Inerenza (dati biometrici): qualcosa che sei, legato di solito a impronte digitali, riconoscimento facciale o scansione dell'iride.
Ecco come funziona, in pratica, il metodo 2FA: supponiamo che tu voglia accedere a una dashboard online che contiene dati sensibili. Per prima cosa, inserisci il tuo nome utente e la password (nella 2FA, si tratta del fattore di "conoscenza"); dopodiché, riceverai una notifica push sul tuo dispositivo (nella 2FA, è il fattore di "possesso"), che dovrai toccare per confermare la tua identità. Entrambi i fattori sono necessari; in caso contrario, l'accesso viene negato.
Tieni presente che il metodo 2FA è un sottoinsieme di una categoria più ampia, nota come autenticazione a più fattori (MFA); se vuoi approfondire le tue conoscenze generali sulla MFA, consulta il nostro post dedicato al tema Cos'è l'autenticazione a più fattori.
I vantaggi dell'autenticazione 2FA
Maggiore sicurezza
Poiché richiede due diversi tipi di fattori, il metodo 2FA riduce drasticamente le probabilità che un tentativo di violazione vada a buon fine. Anche se un hacker riuscisse a indovinare o rubare una delle tue password, non potrà farsene nulla senza il tuo dispositivo fisico o i dati biometrici.
Passi in avanti verso la conformità
In molti settori, come ad esempio la finanza, l'assistenza sanitaria o l'e-commerce, le norme e i regolamenti in materia di protezione dei dati raccomandano o addirittura rendono obbligatoria l'autenticazione 2FA.
I limiti del metodo 2FA
Dipendenza dal dispositivo
Nella maggior parte dei casi, il secondo fattore è legato a un dispositivo mobile: se un utente perde il proprio telefono o tablet, o per qualche motivo non riesce a usarlo, potrebbe subire notevoli ritardi o addirittura essere impossibilitato ad accedere ai propri account.
Potenziali costi o complessità
L'implementazione del metodo 2FA per le grandi imprese potrebbe richiedere l'acquisto di chiavi fisiche o attività di formazione per insegnare ai dipendenti come usare gli autenticatori, il che potrebbe temporaneamente aumentare la complessità delle loro mansioni quotidiane.
Esempi di 2FA
Password e una chiave di sicurezza fisica
Digita la password, poi collega al dispositivo un'apposita unità come una YubiKey per finalizzare l'accesso. Poiché la chiave è un oggetto fisico, i criminali informatici non possono replicarla né hackerarla da remoto.
Impronta digitale e un codice di accesso
La procedura di autenticazione può essere configurata in modo tale che, quando sblocchi un'app sullo smartphone, puoi eseguire la scansione delle tue impronte digitali (fattore biometrico) e anche inserire un breve codice di accesso (fattore di conoscenza).
Riconoscimento facciale e una notifica push sul dispositivo
Alcuni sistemi 2FA sono impostati per eseguire la scansione del viso e, successivamente, inviare una notifica push sul telefono per l'approvazione finale. Questo approccio è basato sull'inerenza (il tuo viso) e il possesso (il tuo telefono).
Password e un'app di autenticazione
Dopo aver inserito una password (fattore di conoscenza), apri un'app di autenticazione (come Google Authenticator o un'applicazione aziendale) che fornisce un codice monouso. Poiché il codice cambia ogni 30 secondi, è molto difficile che un malintenzionato riesca a indovinarlo.
In alcuni casi, le aziende potrebbero essere interessate a valutare opzioni ancora più avanzate, come l'autenticazione senza password; se vuoi saperne di più su come eliminarle del tutto, dai un'occhiata al nostro articolo che parla di Cos'è l'autenticazione senza password.
Cos'è la verifica in due passaggi (2SV)?
Anche la verifica in due passaggi (2SV), in modo simile alla 2FA, prevede due fasi consecutive per verificare la tua identità; la differenza sta però nel fatto che non richiede necessariamente due "categorie" diverse di fattori. Con il metodo 2SV, prima potrebbe esserti chiesto di inserire la password, e poi di rispondere a una domanda personale: in questo caso, entrambi i fattori rientrano nella categoria della "conoscenza". In altri casi, il primo passaggio potrebbe consistere nel digitare il nome utente e la password, e il secondo nell'inserire un codice inviato alla tua e-mail; benché si tratti di un ulteriore livello che va ad aggiungersi alla password, i fattori rimangono esclusivamente basati sulla conoscenza.
I vantaggi del metodo 2SV
Facilità di implementazione
Poiché il metodo 2SV spesso utilizza strumenti comuni, come SMS o verifiche tramite e-mail, per le aziende è relativamente semplice implementarlo; del resto, gli utenti sono già abituati a ricevere codici attraverso questi canali.
Più sicurezza rispetto all'uso delle sole password
Anche se riutilizzi la stessa password per diversi siti (cosa che, ricordiamo, è un'abitudine pericolosa), per accedere ai tuoi account è comunque necessario un secondo passaggio. Questo approccio basato su due livelli è quindi più sicuro rispetto agli accessi che prevedono solo l'inserimento della password.
I limiti del metodo 2SV
Vulnerabilità dello stesso fattore
Se i due passaggi si basano su fattori di conoscenza (come, ad esempio, una password abbinata a una domanda di sicurezza), gli hacker che conoscono a sufficienza i dati personali della vittima potrebbero riuscire a violarli entrambi. Lo stesso dicasi per la verifica basata su SMS, che può essere vulnerabile nei confronti di attacchi di SIM swapping o clonazione di SIM.
Affidamento su canali esterni
Se il codice viene inviato tramite e-mail, e la tua casella di posta elettronica è stata violata, questo secondo passaggio non rappresenta certo un ostacolo per i criminali. Allo stesso modo, anche i codici inviati tramite SMS talvolta possono essere intercettati o subire ritardi.
Esempi di 2SV
Nome utente e password, seguiti da un link inviato all'e-mail
Dopo aver inserito le tue credenziali principali, il sistema ti invia un collegamento monouso per confermare che sei davvero tu. Se il tuo account di posta elettronica è ben protetto, ciò rappresenta un ulteriore ostacolo per i criminali informatici.
Password e una domanda di sicurezza
Accedi con la tua solita password, poi rispondi a una domanda del tipo: "Come si chiamava il tuo primo animale domestico?" Ricorda sempre che le domande di sicurezza possono rappresentare un punto debole, se le risposte sono facili da indovinare o reperibili sui social media.
Password e un codice inviato tramite SMS
Inserisci la password, poi ricevi un codice numerico sul tuo telefono; dopo averlo inserito, il sistema autorizza l'accesso. Benché siano utili, i codici inviati tramite SMS sono vulnerabili nei confronti degli attacchi basati sulla clonazione di SIM e numeri di telefono.
In cosa differiscono i metodi 2FA e 2SV?
A prima vista le autenticazioni 2FA e 2SV possono sembrare molto simili, tant'è che molte persone usano i due termini in modo intercambiabile. Esiste però una sottile ma fondamentale differenza:
L'autenticazione 2FA si basa su due categorie di fattori distinti (ad esempio, qualcosa che conosci e qualcosa che possiedi); ad esempio, una password (conoscenza) e una chiave di sicurezza (possesso).
Il metodo 2SV richiede solo due passaggi, ed entrambi potrebbero ricadere nella stessa categoria, come ad esempio una password seguita da una domanda o un codice di sicurezza (conoscenza).
Da un punto di vista pratico, la 2FA è di solito considerata più sicura della 2SV, poiché è più difficile violare due diversi tipi di fattori: ad esempio, un malintenzionato non è in grado di rubare la tua impronta digitale con la stessa facilità con la quale può violare una semplice password. In ogni caso, la verifica in due passaggi è comunque molto più sicura rispetto all'utilizzo di un solo fattore.
Vale inoltre la pena di sottolineare che il confronto tra 2SV e 2FA è spesso un tema ricorrente quando si parla di flussi di autenticazione avanzati per le imprese. Le grandi aziende potrebbero sperimentare una combinazione di diversi passaggi, come ad esempio una password, una scansione biometrica e una notifica push, che in effetti è una forma di autenticazione a più fattori (MFA). Se ti interessa una panoramica ancor più completa, ti consigliamo di dare un'occhiata al ruolo delle passkey nella sicurezza leggendo il nostro articolo Cos'è una passkey.
Perché è fondamentale usare più di un metodo di sicurezza per proteggere i propri account?
Le minacce informatiche si sono evolute al punto tale da rendere potenzialmente inutili anche le password più forti e complesse: queste, infatti, possono essere neutralizzate per mezzo di truffe di phishing, violazioni di dati o sofisticati strumenti di pirateria digitale. Ed è proprio per questo motivo che l'aggiunta di ulteriori livelli di protezione è diventata una prassi indispensabile per le aziende che prendono sul serio la sicurezza: anche se uno dei livelli fosse violato o aggirato, gli altri rimarranno comunque intatti e al loro posto, garantendo così una solida difesa.
L'errore umano non fa altro che amplificare questi problemi, poiché le persone tendono a riutilizzare le stesse password per diversi account, cliccano senza pensarci troppo su link di dubbia natura e, spesso, si lasciano ingannare da astute tecniche di ingegneria sociale. Poter contare su diverse misure di controllo per l'autenticazione significa che una sola svista o leggerezza non comprometterà necessariamente l'intero sistema. Oltre a ridurre questi rischi, la sicurezza su più livelli aumenta la fiducia da parte dei consumatori, dal momento che dimostra l'impegno di un'azienda nei confronti della tutela delle informazioni personali: si tratta di un aspetto che può fare la differenza in un'epoca, come quella odierna, in cui la privacy è una questione fondamentale.
Infine, non bisogna dimenticare che molti regolamenti e quadri giuridici che disciplinano le imprese impongono, o comunque raccomandano fortemente, l'utilizzo di misure di sicurezza aggiuntive. Per i team che lavorano a distanza, da diversi luoghi e usando numerosi dispositivi, questi livelli aggiuntivi fungono da paracadute poiché ostacolano i tentativi di accesso sospetti prima che possano sfociare in violazioni vere e proprie.