Autenticazione a due fattori: come abilitare il 2FA per tutelare i tuoi account

L’autenticazione in due fattori (2FA – 2 factor authentication) è un metodo di autenticazione che serve per aumentare la sicurezza di un account creato su una piattaforma online. 

Non sostituisce l’importanza di impostare una password sicura, ma si somma a questa precauzione creando un’ulteriore difesa che, anche in caso di violazione dei dati, può impedire a utenti non autorizzati di entrare in un account. Per questo è anche detta verifica in 2 passaggi.

L’autenticazione a 2 fattori è quindi perfetta per proteggere un account di posta o un profilo utente su siti web, banche online, e-commerce e app da un uso fraudolento e accessi indesiderati.

La 2FA si sta diffondendo rapidamente: tra i siti che già permettono di impostarla come misura di sicurezza ci sono tutti i siti dell’universo Google (Gmail, YouTube, etc…), quelli di Microsoft, Windows e Outlook, Facebook, Instagram e WhatsApp, Amazon, Paypal, gli account Apple e molte altre app.

L’autenticazione a due fattori (2FA) tutela il tuo account da accessi non autorizzati richiedendoti un’ulteriore prova di identificazione al momento dell’accesso sul sito o applicazione.

Abilitando l’autenticazione a 2 fattori, l’accesso al tuo account viene vincolato a un dispositivo in tuo possesso, come il tuo computer o il tuo smartphone. Questo aumenta la tua sicurezza perché se anche un hacker recupera le tue credenziali attraverso un’azione di phishing via email, non sarà in grado di fornire il codice che il sito invierà al tuo computer o telefono.

Abilitare l’autenticazione a due fattori

Vediamo nel dettaglio come attivare la verifica in 2 passaggi e come questo sistema funziona, una volta che è stato impostato sul tuo account.

Per prima cosa devi abilitare il metodo di verifica 2FA: vai nelle impostazioni del tuo account, alla sezione Sicurezza. Se il sito permette questa opzione, troverai la voce “Autenticazione a 2 fattori “ o “Verifica in 2 passaggi” e dovrai indicare il metodo di autenticazione che preferisci.

A seconda del servizio e del sistema informatico, infatti, l’autenticazione può avvenire in modo leggermente diverso:

• con una notifica push: installi un’app di autenticazione su un dispositivo che ti invia una notifica ad ogni tentativo di accesso (è il metodo più comune, secondo le ultime statistiche sull’autenticazione a due fattori);
• con una password “usa e getta”: un codice di sei cifre viene generato e inviato all’utente tramite un’app – questi codici di verifica sono rinnovati costantemente e sincronizzati con l’orologio del server interno;
• con un codice inviato via email o SMS: il codice viene inviato all’indirizzo email o al numero di telefono associato e poi inserito sul sito Web o servizio per verificare che l’utente è in possesso del dispositivo associato all’account;
• con un token a due fattori: è un metodo offline, che utilizza un dispositivo fisico, per questo è tra i metodi più sicuri, visto che l’hacker dovrebbe rubarlo per poterlo usare;
• con elementi biometrici: questo metodo di autenticazione a 2 fattori richiede all’utente di dimostrare la propria identità attraverso impronte digitali, voce o un riconoscimento facciale. È un sistema di verifica relativamente nuovo ma è già disponibile sul 77% dei dispositivi mobili.

Una volta attivata la 2FA, in molti casi puoi scegliere quando il sito o l’app devono richiedere la verifica in due passaggi: ogni volta che vuoi entrare nel tuo account, quando accedi da un nuovo dispositivo o se sono passati più di 30 giorni dall’ultimo accesso verificato.

Disabilitare l’autenticazione a due fattori

L’autenticazione a due fattori può essere disabilitata in qualsiasi momento dall’utente e solitamente si tratta di un’operazione molto semplice, per cui basta selezionare nelle impostazioni di account la voce corrispondente alla disattivazione.

A seconda del sito su cui hai attivato l’autenticazione a due fattori, le procedure di disattivazione possono variare. Google, ad esempio, fornisce chiare indicazioni su come disattivare il sistema di verifica a due fattori su tutti i suoi account in questa pagina della Guida di Account. Anche con MailUp l’opzione di verifica a due fattori può essere disabilitata in qualsiasi momento dall’amministratore, semplicemente rimuovendo l’utente dalla lista di quelli su cui è stata abilitata l’autenticazione, come mostrato nell’immagine:

Se hai scelto di vincolare l’accesso al tuo account con il tuo smartphone, nelle impostazioni di sicurezza del tuo account dovrai indicare l’app che hai scelto, scaricarla dal tuo app store e vincolare lo smartphone su cui la userai.

Per vincolare il tuo dispositivo dovrai indicare il tuo numero di telefono. In pochi secondi riceverai un sms di conferma, che dovrai inserire sulla pagina delle impostazioni di sicurezza del sito Web su cui stai attivando l’autenticazione a due fattori.

Una volta installata l’applicazione di autenticazione sul tuo telefono, potrai utilizzarla per ottenere il codice di accesso con cui entrare nel tuo account. Si tratta di un codice di un solo utilizzo, generato a intervalli regolari, inviato solo sul dispositivo indicato dall’utente  – questo offre la garanzia che l’unico modo per visualizzare il codice è quello di disporre del dispositivo vincolato all’account.

Tra le app di autenticazione, quelle di uso più comune sono:

• Google Authenticator
• LastPass Authenticator
• Authy
• Microsoft Authenticator

Abilitare l’autenticazione a due fattori è molto importante per garantire la sicurezza dei tuoi dati personali e metterti al sicuro da frodi informatiche.

Perché le misure standard non sono sufficienti?

Perché il nome utente che utilizzi per accedere a un sito Web è quasi sempre una mail facile da indovinare. La maggior parte delle password, invece, si possono scoprire in pochi secondi con software appositi.

Questo significa che per un hacker non è difficile entrare nel tuo account di posta elettronica o in quello della tua banca online. E, una volta dentro, il malintenzionato può cambiare le tue credenziali per impedirti di accedere, oppure copiare i tuoi dati e utilizzarli per violare anche i tuoi account di lavoro (secondo le statistiche, infatti, il 51% delle persone usa le stesse password sia per gli account di lavoro che per quelli personali).

Un altro ottimo motivo per abilitare l’autenticazione a due fattori la facilità di accesso. Non dovrai infatti più ricordare le diverse password che usi in ogni sito che visiti o su cui hai un account. Secondo uno studio, un dipendente medio deve ricordare 27 password. Ti è familiare?

Il NIST (National Institute of Standards and Technology), agenzia del governo degli Stati Uniti per la gestione delle tecnologie, ha fornito delle linee guida utili per il corretto utilizzo dell’autenticazione a due fattori.

Pur non avendo una valenza obbligatoria in Europa, per l’autorevolezza stessa del NIST queste linee guida sono considerate un riferimento a livello globale. In queste linee guida, il NIST chiarisce il carattere e ruolo che deve rivestire ciascun fattore:

• un fattore deve corrispondere a un segreto memorizzato, ovvero a una password
• l’altro fattore deve corrispondere a qualcosa che si possiede e per il quale l’autenticatore deve dimostrare tale effettivo possesso.

Combinati insieme, questi fattori garantiscono una “resistenza all’impersonificazione”, ovvero impediscono che qualcun altro entri in possesso della nostra persona.

Il NIST consiglia pertanto l’utilizzo di un “Multi-Factor OTP Device”, come uno smartphone (che deve però essere preventivamente protetto da una password o da un’impronta digitale/riconoscimento facciale) o un’applicazione apposita che generi un codice OTP temporaneo. Quest’ultimo punto fa capire perché anche in Europa, con l’entrata in vigore della Direttiva (UE) 2015/2366 (PSD2), non sono più ammessi i token hardware, considerati poco sicuri dal momento che potevano essere attivati senza alcuna barriera di sicurezza come, appunto, una password.

Anche la piattaforma MailUp mette a disposizione dell’utente la possibilità di attivare l’autenticazione a due fattori. Una volta impostata, al momento del primo accesso in piattaforma, sarà richiesto di scansionare il QR code presente nella pagina di login e di inserire un codice di verifica, generato da un’applicazione installata su un dispositivo dell’utente, come mostrato nell’immagine di seguito.

L’autenticazione a 2 fattori è un ulteriore livello di sicurezza offerto da molti servizi e siti Web come aggiunta opzionale al processo di identificazione e accesso standard. Sia le statistiche di Google che quelle di Microsoft dicono che l’autenticazione a più fattori annulla praticamente le possibilità che il tuo account venga violato. Cosa aspetti a provarlo?