Autenticazione a due fattori: cos’è e perché è importante

Scritto da Webristle

Giu 7, 2023

Giugno 7, 2023

Cosa si intende per autenticazione a due fattori?

L’autenticazione a due fattori è un sistema di autenticazione, adottato ormai da molte piattaforme e servizi online per l’accesso ad essi.

Ogni identità digitale deve essere verificata prima di poter accedere ad un sito o ad un servizio e l’autenticazione è la tecnica con cui questo avviene, ma la sicurezza dell’utente remoto dipende dal metodo utilizzato.

I sistemi che ricorrono a sistemi di autenticazione a due fattori sono ritenuti decisamente più sicuri e più affidabili di quelli che utilizzano un metodo debole o incapace di garantire l’identità dell’utente in modo adeguato. In tal caso, questo si trova esposto ad una serie di rischi, che un sistema più sicuro più evitare o quanto meno ridurre.

Con la recente introduzione della direttiva europea PSD2 e con l’avanzare dell’Open Banking, inoltre, affidarsi ad un sistema di autenticazione sicuro diventa di importanza vitale. Ma andiamo per gradi.

 

Autenticazione a due fattori: cos’è

Prima di tutto, quando parliamo di autenticazione o verifica in due passaggi o di 2FA, ossia Two Factor Authentication, ci riferiamo ad un particolare modo di accedere ad un servizio o ad un sito. Si tratta di un metodo di autenticazione che si svolge in due passaggi e che prevede l’utilizzo di due o più metodi attraverso cui procedere all’autenticazione individuale.

Il concetto si ricollega al cosiddetto out of band authentication, ossia il ricorso di più canali per autenticarsi verso un asset. Un esempio lampante è quello del conto corrente: per l’accesso ad esso, infatti, vengono utilizzati ID, password e l’OTP, ossia una password generata da un token fisico e utilizzabile un’unica volta.

Il metodo più utilizzato è quello che prevede identificativo e password per accedere al sistema, ma si tratta di una tecnica di autenticazione dalla sicurezza molto limitata. Infatti, la password può essere persa, dimenticata, condivisa o rubata, per cui è evidente come questa non sia sufficiente, nell’esempio dell’accesso al conto corrente. Proprio per questo motivo, nel tempo, sono state elaborate tecniche di Strong Authentication.

 

Sistemi di autenticazione a due fattori

Qual è il sistema di autenticazione più sicuro? Di solito, per procedere ad autenticazione a sistemi digitali, sono previste tre diverse tecniche, che possiamo elencare come segue:

  • “qualcosa che si conosce”, come password o PIN;
  • “qualcosa che si ha”, come un numero di cellulare, un oggetto fisico o una carta di credito;
  • “qualcosa che si è”, come il riconoscimento biometrico, ossia quel tipo di autenticazione che avviene attraverso il riconoscimento di determinate caratteristiche individuali e uniche del corpo, quali voce, retina, impronta digitale o iride.

Quando un’autenticazione viene definita a due fattori è perché questa si basa su almeno due di questi diversi metodi di autenticazione, piuttosto che sulla sola password, che è una tecnica di autenticazione ad un fattore, considerata debole. Di solito, le combinazioni più utilizzate sono quelle tra “qualcosa che si conosce”, quindi una password, e “qualcosa che si ha” o “qualcosa che si è”. Un sistema è considerato Strong Authentication, quindi, quando si utilizza più di un fattore di autenticazione.

 

Come funziona l’autenticazione a due fattori?

Il sistema prevede di inserire il proprio user e la propria password (che costituisce il primo fattore di autenticazione) per accedere ed eseguire il login.

Dopo aver inserito le credenziali di accesso corrette, viene richiesto un secondo fattore di autenticazione, che è costituito da un codice numerico. Generalmente, questo secondo fattore di autenticazione viene fornito mediante smartphone (o tramite codice inviato per sms oppure attraverso un’app di autenticazione) o mediante token fisico.

Mentre le password possono essere intaccate, il secondo fattore di autenticazione risulta più sicuro poiché viene generato secondo criteri pseudocasuali e ha durata limitata, di fatto viene definito codice OTP, “one time password”.

Esiste anche il secondo fattore di tipo biometrico (“qualcosa che si è”), quello tipicamente usato dalle app bancarie che chiedono, sia per gli accessi sia per effettuare operazioni e transazioni, la seconda autenticazione attraverso impronta digitale o riconoscimento facciale.

 

Come si può ottenere il secondo fattore di autenticazione?

Nella 2FA il secondo fattore numerico in forma di OTP si può ottenere in diversi modi. Li descriviamo di seguito.

OTP tramite SMS

Attraverso un SMS che ci viene inviato sul nostro smartphone: è una modalità molto diffusa, ma è indiscutibilmente la meno sicura.

A condizione che lo smartphone sia sempre connesso alla rete cellulare, il codice OTP inviato tramite SMS è la modalità di 2FA più utilizzata ma è la meno sicura per via della vulnerabilità del protocollo Signalling System No 7 (SS7).

In realtà ciò che rende poco sicuro questo metodo sono le sempre più frequenti SIM Swap Fraud, ossia il trasferimento da una SIM ad un’altra di un numero di telefono ad opera di un malintenzionato. In questo modo il criminale ottiene l’accesso completo al numero del proprietario che non si accorge di nulla e riceve i messaggi con i codici di doppia autenticazione per effettuare operazioni bancarie. Nel frattempo il legittimo proprietario della SIM ha in mano uno smartphone disconnesso dalla rete ma è facile che nel momento in cui si accorge del problema il criminale abbia già agito.

Applicazioni che generano OTP

Le applicazione dedicate alla generazione di OTP sono più sicure degli SMS, laddove la piattaforma a cui si deve accedere randa disponibile questa opzione, è un metodo pratico che non richiede necessariamente la copertura telefonica.

Le applicazioni di questo tipo vengono chiamate soft token poiché si comportano come i vecchi token hardware che rilasciavano le banche, generando un codice OTP a 6 cifre associato ad un account. Le più note applicazioni di autenticazione a due fattori sono Authy, Google Authenticator, Microsoft Authenticator.

 

Token USB per due fattori

I token USB per l’autenticazione a due fattori sono dispositivi sviluppati per aumentare la sicurezza dei processi di autenticazione. Sono nati come una soluzione per superare le limitazioni delle tradizionali password, soggette sempre più, come è noto ormai, a molteplici tipologie di vulnerabilità, e per fornire metodi di autenticazioni più sicure a fronte dell’aumento delle minacce alla sicurezza informatica e la necessità di proteggere meglio le informazioni sensibili.

I token USB utilizzano un approccio basato su qualcosa che l’utente possiede (il token fisico) oltre alla conoscenza della password. Questa combinazione di fattori rende più difficile al cybercriminale ottenere l’accesso non autorizzato a un account. Questi token USB sono progettati per essere portatili, facili da usare e offrire un livello aggiuntivo di sicurezza. Possono generare codici di verifica univoci o fornire altre forme di autenticazione come la crittografia dei dati o l’utilizzo di certificati digitali.

L’adozione dei token USB per la 2FA è stata favorita anche dalla diffusione di standard e protocolli di sicurezza, come FIDO (Fast Identity Online), che promuovono l’uso di dispositivi di autenticazione sicuri come i token USB.

Ecco come funziona generalmente un token USB per l’autenticazione a due fattori.

  1. Durante la configurazione dell’account, viene collegato il token USB e viene eseguito un processo di registrazione.
  2. Successivamente, quando si accede all’account o si completa un’azione che richiede l’autenticazione, viene richiesto di inserire il secondo fattore di autenticazione.
  3. Si collega il token USB all’USB del computer o del dispositivo.
  4. Il token genera un codice di verifica univoco.
  5. L’utente inserisce il codice di verifica generato dal token USB nell’interfaccia di accesso o autenticazione.
  6. Se il codice è corretto, l’accesso all’account o l’azione richiesta viene completata.

Sebbene non tutti i servizi accettano questi hardware, diventerà comunque lo standard del prossimo futuro, essendo già ai livelli crittografici più elevati, tra cui la FIPS 140-2 (“Validation Ensures Strong Security and Compliance”) ed il livello 3 di autenticazione (AAL3) indicato nelle linee guida NIST SP800-63B (di cui parleremo in seguito).

Garantisce anche la conformità alla direttiva europea PSD2 per quanto riguarda la Strong Customer Authentication (SCA).

 

Direttiva PSD2

Una maggiore sicurezza in materia di pagamenti attraverso sistemi affidabili di autenticazione sarà necessaria soprattutto in considerazione dell’introduzione della direttiva PSD2.

La PSD2 o Payment Services Directive 2 è la nuova direttiva europea in materia di pagamenti digitali, entrata in vigore a gennaio 2018, con attuazione prevista entro la metà del 2019. Questa direttiva cambia il modo di concepire i servizi finanziari e rappresenta un’opportunità di crescita per coloro che sapranno coglierla.

Attraverso la PSD2, la Commissione Europea ha imposto alle banche dell’Unione Europea di aprire a terze parti autorizzate e di concedere loro l’accesso a conti e dati in loro possesso. Una volta attuata, il mondo dei servizi finanziari è cambiato e sarà sempre meno quello a cui siamo stati abituati: non si dovrà più ricorrere a carte di credito, contanti o bancomat per ogni pagamento. Ogni acquisto, dal più semplice caffè al bar al più complesso, viene effettuato attraverso i PISP, ossia i Payment Initiation Service Providers.

Grazie ad un semplice click, i clienti delle banche possono decidere di dare accesso a soggetti specifici alle proprie informazioni di conto corrente.

Lo scopo è quello di dare più apertura alle informazioni dei conti bancari e di aumentare la concorrenza sul mercato dei pagamenti. La PSD2 permette ai clienti delle banche, privati o aziende che siano, di servirsi di provider di operatori terzi, ossia soggetti non bancari, per gestire ed eseguire operazioni di pagamento.

 

Direttiva PSD2 a chi si rivolge e come funziona

La direttiva PSD2 è rivolta a tutti i fornitori di servizi di pagamento, quali banche, assicurazioni, compagnie telefoniche e ai TPP, ossia i Third Party Providers. La nuova normativa prevede che le banche diano ai TPP un accesso sicuro ai conti dei clienti e alle informazioni sui pagamenti.

Lo scopo ultimo è quello di rendere il mercato europeo dei pagamenti più efficiente e funzionale e di creare un ambiente bancario più democratico e fondato su condizioni di parità. Per i soggetti non tradizionali, tale innovazione rappresenta un’opportunità, in quanto possono accedere al mercato dei pagamenti anche parti terze che offrono servizi basati sull’accesso alle informazioni del conto e servizi alternativi non offerti dalle banche.

Per eseguire dei pagamenti dal proprio conto corrente online, non sarà più necessario passare per l’istituto di credito di appartenenza, ma basterà procedere attraverso i soggetti terzi autorizzati.

 

Cosa cambia per le aziende

Il cambiamento più significativo riguarda lo shopping online, che diventa più semplice. Prima del PSD2, per acquistare un prodotto su Amazon, il rivenditore contattava l’acquirente che contattava Visa o MasterCard per prevelare dalla carta.

Dopo il PSD2, è possibile pagare direttamente dal proprio conto, con il permesso del titolare della carta.

L’attuazione del PSD2, insomma, comporta una generale semplificazione di molti servizi offerti dalle aziende e dalle banche, senza l’intervento di intermediari o l’applicazione di commissioni. Per quanto riguarda, invece, la sicurezza, l’Open Banking è sicuro come l’Online Banking: infatti, la legge impone agli account provider di verificare l’identità dell’utente e del servizio. In definitiva, data la rilevanza e la sensibilità delle informazioni e dei dati in questione, per le aziende, così come per i privati, sarà importante dotarsi di sistemi di autenticazione che garantiscano maggiore sicurezza.

Articoli correlati

Cyber Insurance: cos’è e perché è fondamentale

Cosa è la cyber insurance La cyber insurance, nota anche come assicurazione cibernetica o assicurazione informatica, è un tipo di polizza assicurativa progettata per proteggere le organizzazioni dai rischi legati alle minacce e agli incidenti informatici. Queste...

Spear phishing: cos’è e come proteggersi

Spear phishing: cos’è e come proteggersi

Lo spear phishing rappresenta una minaccia sempre più sofisticata nel panorama della sicurezza informatica. Questa forma di attacco mirato va oltre le tecniche tradizionali di phishing, concentrandosi su individui specifici o aziende con un livello di precisione...

Teabot: cos’è e come difendersi dal banking trojan

Teabot: cos’è e come difendersi dal banking trojan

Aveva fatto la sua comparsa nel maggio 2021 e un anno dopo è tornato a colpire; stiamo parlando di Teabot, un trojan bancario in grado di rubare i dati di accesso ai conti degli utenti. Nascosto in app all'apparenza non pericolose, il malware Teabot aveva creato già...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!