Skip to main content

Autenticazione a due fattori vs. verifica in due passaggi: qual è la differenza?

In un momento storico come questo, è molto importante rivedere la protezione dei vostri account online o, quantomeno, potenziare le vostre nozioni sulla sicurezza. Il Covid-19 ha cambiato molte delle nostre abitudini, aumentando il tempo che passiamo online, sia per lavoro che per svago, dunque è bene ripensare un attimo a come ci proteggiamo sulla rete. Iniziamo da una differenza importante: autenticazione a due fattori e verifica in due passaggi sono due concetti diversi, anche se simili, ma entrambi riguardano un ulteriore livello di sicurezza con cui possiamo proteggere un account, al di là della password.

D’altronde, è ormai noto che, per quanto complessa, la sola password non è più sufficiente per tenere al sicuro le vostre credenziali: gli attacchi informatici sono sempre più efficaci e sofisticati ed è qui che entra in gioco l’importanza di integrare la vostra parola d’accesso con un ulteriore meccanismo di sicurezza.

A conti fatti, spesso non ci rendiamo conto di quanto sia importante (e complicato) adoperare password difficili da indovinare e abbastanza strutturate, ad esempio con caratteri speciali e numeri, da renderle (quasi) immuni ai tentativi di violazione. Ricordare le password può diventare difficile e i password manager non sono ancora abbastanza diffusi.

Un sondaggio di qualche anno fa condotto da Keeper Security ha dimostrato che oltre l’80% delle persone di età compresa fra i 18 e i 30 anni utilizza la stessa password su più applicazioni. L’aspetto più allarmante è che il 29% degli intervistati ha ammesso di condividere le password con altre persone. E oggi la situazione non è poi tanto diversa.

Dunque non deve stupire il fatto che sempre più app invitino (o costringano) gli utenti a impiegare un secondo livello di protezione per gli account, come l’autenticazione a due fattori o la verifica in due passaggi. E il primo consiglio che possiamo darvi è, se un’app vi offre la possibilità di usare l’autenticazione a due fattori, investite qualche minuto per attivarla.

 Autenticazione a due fattori vs. verifica in due passaggi 

Ma allora qual è la differenza fra autenticazione a due fattori e verifica in due passaggi? Innanzitutto c’è da dire che negli anni i due termini sono stati utilizzati come se fossero intercambiabili, soprattutto per il modo in cui sono stati comunicati e promossi. Effettivamente, i due approcci sono simili e altrettanto validi per proteggersi online, tuttavia sussiste una differenza che spesso sfugge alla maggior parte delle persone.

Il punto focale è comprendere la definizione di fattore di autenticazione. Lo scopo di questo elemento è verificare l’identità di un utente in quanto titolare di un account durante la fase di accesso. Esistono tre fattori per l’autenticazione riconosciuti a livello generale:

  • Un elemento noto solo dall’utente (password, PIN e così via)
  • Un elemento posseduto esclusivamente dall’utente (smartphone, scheda SIM, chiavetta USB di sicurezza)
  • Una caratteristica fisica unica dell’utente (impronte digitali, iride) 

E dunque, l’unione di due fra questi fattori di autenticazione apporta un ulteriore livello di protezione alla procedura di accesso a un account.

Svantaggi di ciascun approccio

Servizi come Google, Apple e Microsoft usano una combinazione dei primi due fattori, ovvero un elemento che conoscete solo voi e qualcosa che possedete fisicamente, per la verifica in due passaggi. Tuttavia, a livello tecnico, questo approccio desta alcune preoccupazioni. I codici usa e getta e le password non richiedono necessariamente il possesso di un dispositivo. Non è poi così difficile intercettare gli SMS in transito e questo è un problema presente già da tempo. Per questo motivo, alcuni esperti di sicurezza indicano i codici usa e getta e le password come “conoscenza aggiuntiva”: se l’elemento correlato al possesso fisico viene neutralizzato intercettando il messaggio contenente il codice usa e getta o la OTP (one-time password), allora viene meno il fattore di sicurezza.

Tuttavia, se i codici usa e getta vengono inviati ad app come Authenticator, il procedimento diventa più sicuro, dato che è molto più difficile intercettare le OTP in questo caso.

Ciò che sembra sfuggire alle persone è il fatto che i codici usa e getta sono solo uno dei metodi utilizzabili come secondo passaggio di autenticazione. Alcuni analisti di sicurezza sottolineano che solo un secondo fattore che sia unico a livello fisico per l’utente, come le impronte digitali, possa definire un’autenticazione a due fattori realmente efficace.

Dunque, la verifica in due passaggi tende a impiegare sempre due fattori simili, appartenenti alla prima categoria, ovvero la password dell’utente e un codice usa e getta o una OTP, mentre l’autenticazione a due fattori combina la password con un fattore unico come lo smartphone o l’impronta digitale dell’utente.

Si tratta di una differenza non troppo marcata, ma che dal punto di vista delle possibili vulnerabilità cambia parecchio le carte in tavola: come dicevamo, nel caso dell’utilizzo di due password (una fissa, decisa dall’utente, una casuale generata dall’app o dal sito), l’eventuale intercettazione del codice una tantum potrebbe vanificare qualsiasi sforzo di protezione dell’account stesso.

Violare uno smartphone è già più difficile, così come è quasi impossibile “imitare” o “rubare” i dati biometrici di un utente (prelevare e usare le impronte digitali richiederebbe alcune attività degne dei migliori film di spionaggio, ma il discorso esula dallo scopo di questo articolo).

Attivare la verifica in due passaggi o l’autenticazione a due fattori

Vale la pena, dunque, attivare la verifica in due passaggi?

Assolutamente sì. Come indicato in precedenza, diversi servizi utilizzano i termini verifica in due passaggi e autenticazione a due fattori come se fossero intercambiabili. Si tratta sempre di un ottimo modo per potenziare la sicurezza dei vostri account online, dato che vanno oltre l’uso della sola password.

Ma se ad esempio, usassimo una password troppo debole, l’autenticazione a due fattori garantirebbe comunque la protezione dell’account?

I fattori di autenticazione a due passaggi influiscono notevolmente sul livello di complessità di un’eventuale violazione. Considerando sempre il livello di complessità della password e la scelta dei fattori da combinare, l’autenticazione a due fattori o la verifica in due passaggi potrebbe comunque essere più efficace dell’uso esclusivo di una password molto complessa (anche se qui bisognerebbe capire un attimo cosa intendiamo per “complessa”). In ogni caso, se avete dedicato quel minuto in più per attivare l’autenticazione a due fattori, resta consigliabile investire un altro po’ di tempo per adottare una password “forte”.

Stalina Zoir, Marketing Specialist di pCloud