Che si tratti di Google, Facebook, Dropbox o Paypal: tutti hanno account online pieni di dati sensibili che non dovrebbero cadere nelle mani di terzi non autorizzati. I servizi Internet sono solitamente protetti solo da una password: un gioco da ragazzi per un hacker esperto. Con l’autenticazione a due fattori (2FA), è possibile impostare una seconda barriera dopo la password e quindi garantire una maggiore sicurezza. Il modo più semplice per farlo è utilizzare un’app di autenticazione, i cui rappresentanti più popolari per Android e iPhone vi presentiamo in questo articolo. Inoltre, imparerete quali sono i metodi di autenticazione disponibili e quanto sono sicuri.

1. come funziona l’autenticazione a due fattori?

.

Per accedere al proprio account online, è necessario inserire un nome utente e una password nella prima fase, che corrisponde al primo fattore di un 2FA. Il sistema di accesso verificherà quindi la correttezza dei dati. Dopo la conferma, tuttavia, non si viene indirizzati direttamente al contenuto, come avviene di solito con l’autenticazione semplice, ma a una seconda barriera o al secondo fattore.

Dopo aver richiesto la password, la maggior parte dei sistemi 2FA si affida a servizi esterni per effettuare la seconda fase della verifica. Il codice generato può essere ricevuto via SMS o e-mail, ma può anche essere ottenuto tramite un token USB o una smart card, oppure può essere un’impronta digitale (su un sensore corrispondente). Idealmente, tuttavia, i fattori dovrebbero provenire da categorie diverse, ossia rappresentare una combinazione di conoscenza (ad esempio, password o PIN), possesso (ad esempio, generatore TAN o chip card) o biometria (ad esempio, impronta digitale).

Buono a sapersi: Con un’app di autenticazione, è possibile utilizzare la 2FA anche se, ad esempio, il servizio SMS non è disponibile al momento.

2. quali sono le procedure di autenticazione?

Il secondo fattore è destinato ad aumentare la sicurezza in linea di principio, ma la misura in cui funziona dipende in ultima analisi dalla sua implementazione e dal suo utilizzo. In sostanza, si distingue tra tre diverse procedure di autenticazione:

.

• Con i sistemi TAN/OTP (“One Time Password”) , come secondo fattore viene trasmessa una one-time password (HOTP, HMAC-based One-time Password). Tuttavia, questo metodo è ormai considerato superato e non più sufficientemente sicuro. Meglio sono i generatori di TAN o le app che forniscono il codice richiesto utilizzando TOTP (“Time-based One-time Password”), dove i codici cambiano ogni minuto, ad esempio.
• Itoken crittografici memorizzano una chiave crittografica privata. L’autenticazione avviene quindi inviando una richiesta al token, che può rispondere correttamente solo con l’aiuto della chiave privata. La chiave stessa può essere memorizzata, ad esempio, come certificato software o su una smart card o una speciale chiavetta USB/token NFC.
• Isistemi biometrici verificano l’esistenza di una caratteristica fisica precedentemente registrata (volto, impronta digitale, retina, ecc.). Queste caratteristiche sono solitamente visibili a tutti, quindi il riconoscimento a vita è importante. Altrimenti, il sistema potrebbe essere ingannato semplicemente con una foto, ad esempio.

3 Le app di autenticazione più diffuse in sintesi

Nel frattempo, numerosi servizi e aziende online utilizzano già la procedura di autenticazione a due fattori per un login sicuro. Nella sezione seguente vi presenteremo diverse app di autenticazione che rendono l’impostazione e l’utilizzo della 2FA particolarmente facile e conveniente.

3.1 Google Authenticator per Android e iOS

L’Autenticatore Google genera un codice sullo smartphone o sul tablet che deve essere inserito quando si accede al proprio account Google. La configurazione è relativamente semplice. Per prima cosa è necessario confermare il proprio account:

1. Accedete al vostro account Google e fate clic sulla voce“Sicurezza” nel menu.
2. Quindi, nella sezione“Accedi a Google“, selezionate l’opzione“Conferma in due passaggi“.
3. Cliccate su“Inizia ora“.
4. È possibile scegliere di utilizzare un dispositivo Android collegato, un SMS, una chiave di sicurezza o una chiamata audio solo per l’accesso.
5. Infine, impostate un’opzione sostitutiva (ad esempio, un altro numero di telefono) e confermate le voci con un altro clic.

Nella fase successiva, installare e configurare l’applicazione Authenticator attuale. Questa può essere scaricata gratuitamente dal Play Store (Android) e dall’Apple Store (iOS).

1. Avviare l’app Authenticator e aggiungere il proprio account Google tramite“Scansione del codice a barre” o“Immissione della chiave“.
2. Tornate al PC e selezionate nuovamente“Conferma in due passaggi” in“Sicurezza“.
3. Cliccate su“Configurazione” sotto“App Authenticator” e selezionate il vostro tipo di smartphone.
4. Sullo schermo viene visualizzato un codice a barre a sei cifre. Scansionatelo con la fotocamera dello smartphone e cliccate sull’opzione“Aggiungi account“. Inserite il codice visualizzato nell’app nel vostro account Google sul desktop.
5. La 2FA è solo impostata e pronta all’uso.

Buono a sapersi: L’Autenticatore Google non funziona solo con il vostro account Google o con i servizi Google, ma può essere utilizzato anche con numerose altre applicazioni, come Facebook, Dropbox o diverse soluzioni di pagamento mobile. Tuttavia, il prerequisito è che il servizio in questione supporti la 2FA.

3.2 Autenticatore LastPass

LastPass è uno dei più popolari gestori di password sul mercato e da qualche tempo offre anche una pratica app di autenticazione con LastPass Authenticator. In questo caso non è necessario inserire alcun codice per accedere; l’accesso avviene premendo un pulsante e sulla base di un messaggio push in cui si selezionano i siti web desiderati.

I cosiddetti login “one-tap” funzionano sia con LastPass stesso che con cinque siti web di terze parti (liberamente selezionabili), tra cui ad esempio Google, Facebook, Amazon (escluso AWS) o Dropbox. Tuttavia, per utilizzare l’OTA è necessario disporre di un account LastPass (gratuito). Inoltre, è necessario installare e attivare l’estensione del browser corrispondente.

Se ora si accede a un sito web compatibile, l’estensione del browser invia un messaggio push al cellulare in cui si conferma l’accesso con un tocco del dito. L’applicazione invia quindi il codice di autenticazione all’estensione del browser. Il video seguente mostra esattamente come funziona:

Buono a sapersi: I login “One-Tab” sono specifici per il browser. Ciò significa che se avete effettuato l’accesso con Chrome, ad esempio, dovrete inserire nuovamente i dati di accesso se utilizzate un altro browser (ad esempio Microsoft Edge).

3.2 App di autenticazione Authy

Uno degli svantaggi della 2FA è che bisogna riattivare tutti i codici di autenticazione quando si passa a un nuovo smartphone. Grazie ad Authy, questo è ormai un ricordo del passato, perché lo strumento memorizza tutti i token nel cloud. Per utilizzare la funzione, è sufficiente attivare il backup crittografato. Successivamente, i token vengono memorizzati sui server di Authy. In questo modo è possibile accedere ai propri codici ogni volta che si accede a un’app Authy su smartphone, computer o tablet. I siti web che supportano Google Authenticator funzionano anche con Authy, per cui è garantita la massima compatibilità.

Per configurare un nuovo account Authy, basta scansionare il codice QR visualizzato con la fotocamera dello smartphone e poi inserire manualmente la chiave di autenticazione sul desktop . Gli account impostati sono chiaramente visualizzati nella parte inferiore dello schermo, per facilitare il passaggio.

Attenzione: sebbene l’accesso multiplo ai codici 2FA sia di per sé molto pratico, presenta anche uno svantaggio decisivo. Secondo Authy, i backup vengono crittografati con una password inserita sullo smartphone prima di raggiungere il cloud. Questa è quindi l’unica possibilità di decrittazione. Se si dimentica la password, non si ha più accesso ai codici 2FA e quindi si viene esclusi da tutti gli account in un colpo solo. Le modalità e le possibilità di accesso dipendono dalla politica di recupero dell’account del rispettivo servizio.

Inoltre, con Authy è possibile creare backup criptati nel cloud e sincronizzare i dati su più dispositivi finali. Lo strumento è scaricabile gratuitamente per Windows, Apple Mac, Android, iOS e Chrome OS.