La password non basta più. Guida all’utilizzo dell’autenticazione a due fattori.
Una delle armi più efficaci per difendere i vostri account personali è l’autenticazione a due fattori, nota anche con l’acronimo 2FA. Scritta così può sembrare una procedura astrusa, ma consiste nel creare un ulteriore livello di autenticazione oltre alla semplice password. Questo livello può essere un numero di cellulare, un’app per la verifica dei codici o un token di autenticazione. Vediamo in dettaglio di cosa si tratta.
1 Le password non bastano più
Molti sono convinti che una password di medio livello (fatta di numeri e maiuscole) protegga i propri dati. La realtà è un qualsiasi portatile di fascia media può bastare per calcolare una password del genere in un paio di giorni. E’ un meccanismo chiamato “brute force” e viene messo in atto da software che generano matematicamente milioni di password. Questo vale per le password prive di significato, come stringhe di lettere e numeri, mentre per le parole di senso compiuto esistono appositi file chiamati dizionari che permettono l’accesso in qualsiasi lingua.
E’ per questo che uno dei consigli di base per la sicurezza informatica è creare una password multi fattoriale. Cioè, composta da una lunga stringa di caratteri privi di senso e inframmezzata da parole di senso compiuto. La password dovrebbe essere molto lunga e impossibile da ricordare, quindi andrebbe gestita attraverso un password manager. L’obiettivo è rallentare, e magari far desistere, un hacker interessato ad entrare nei vostri account.
2 La sicurezza al 100% è impossibile
Pensate ad una casa protetta da un allarme antifurto. Non esiste allarme che garantisca sicurezza totale, ma basterà a dirottare i ladri meno esperti. Per contro, se avete oggetti di grande valore, rischiate di diventare bersaglio di ladri specializzati e quindi abili nel penetrare sistemi complessi. Lo stesso vale per gli hacker. Se il premio è rubarvi l’account Facebook per fare spam, una password che non sia “123456” probabilmente basterà. Viceversa, se la possibilità di accedere al vostro online banking diventa reale, la fatica sarà premiata in modo molto più concreto. Di fatto, una buona conoscenza delle pratiche basilari di sicurezza potrà aiutarvi a calibrare il rapporto rischio/benefici legato a ogni account.
3 Autenticazione a due fattori
E’ qui che entrano in gioco i due fattori. Oltre alla password, per accedere a un account dovrete immettere un valore secondario, generalmente un codice numerico ottenibile attraverso il cellulare. Le modalità per averlo sono diverse. Dal numero di telefono, a cui verrà inviato un sms, ad app come Authy o Google Authenticator, che genereranno i codici sullo smartphone. Il livello di sicurezza più affidabile è costituito da un piccolo dispositivo chiamato token di sicurezza U2F. Ce ne sono diversi sul mercato, ma il leader del settore è Yubico. Quando attivate il token su un account, per entrarvi da qualsiasi computer sconosciuto servirà l’accesso al dispositivo fisico. E’ il sistema che vi consigliamo, dato che un token costa dalle 20 alle 50 euro, ma spesso serve un porta USB per utilizzarlo. Cellulari e molti tablet non ne sono provvisti, per cui potranno solo essere appaiati a token compatibili con la tecnologia NFC.
4 Dove potete utilizzarla?
Fortunatamente quasi ovunque, anche se in modalità diverse. Google, Apple, Paypal, servizi cloud come Dropbox. Ormai tutti i maggiori servizi online consentono una o più forme di autenticazione. Google è probabilmente il più avanzato, a patto però di usare il browser Chrome. Per attivarla bisogna andare nelle impostazioni di sicurezza di ogni account, dove quasi sempre troverete la dicitura “autenticazione a due fattori” oppure “verifica in due fattori”. Per avere una panoramica completa, potete guardare sul sito Two Factor Auth. TFA consente di controllare con esattezza chi e come consente di utilizzare la 2FA. Il sito è in inglese e lista anche molti servizi statunitensi. Al momento, tuttavia, è il database più ricco di informazioni al riguardo.