Oggi l’autenticazione a due o più fattori non può più essere considerata un’opzione da utilizzare solo nei nostri account bancari (dove peraltro è obbligatoria) ma è diventata una necessaria misura di sicurezza da adottare per tutti i nostri account più importanti.
Non basta impostare password forti ed univoche: come abbiamo spiegato in un nostro precedente articolo, qualunque password potrebbe essere rubata e quindi compromessa.
Magari non per causa nostra, ma a seguito della compromissione del sito dove è stata registrata. Sono frequenti i casi di violazione di siti (data breach) con il furto massivo di migliaia o milioni di password: in questi casi le nostre password finiscono nel mercato nero del web e qualcuno potrebbe usarle per realizzare un Account Takeover (acquisizione dell’account).
Un’autenticazione basata solo su password è dunque intrinsecamente debole, anche se la password impostata è robusta, perché la sicurezza dell’account dipende da un solo fattore, appunto la password.
Per questo ci viene in aiuto la Strong Authentication o autenticazione forte a due o più fattori, definita anche 2FA o MFA (Multi-Factor Authentication). Essa rappresenta la misura di sicurezza più importante per proteggere l’accesso ai nostri account.
In ambito bancario è utilizzata ormai da anni ed è definita Strong Customer Authentication (SCA): la sua applicazione è stata ulteriormente rafforzata e resa obbligatoria per le operazioni bancarie online a seguito dell’entrata in vigore della Direttiva (UE) 2015/2366 nota come PSD2 (Payment Services Directive 2).
La SCA viene definita in modo molto preciso nella PSD2 all’art.4 comma 30 come:
«autenticazione forte del cliente»: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
La medesima Direttiva indica i casi in cui è obbligatorio utilizzarla, cioè quando il pagatore:
Questa direttiva dell’Unione Europea è stata recepita dall’Italia con il D.Lgs. 15 dicembre 2017, n. 218 ed è in vigore in Italia dal 14 settembre 2019.
Molti utenti avranno notato, dopo questa data, che la loro banca ha reso più stringenti (e spesso anche più complicate!) le modalità di accesso ai servizi di internet banking.
Ormai tutti i siti importanti rendono disponibile l’autenticazione a due fattori, ma in forma facoltativa. Quindi sarà l’utente a doverla attivare come opzione aggiuntiva.
A darci la misura di questo determinante incremento di sicurezza è – per esempio – quanto esposto da Microsoft nel corso della RSA Conference 2020, svoltasi a San Francisco nel febbraio 2020. Nel corso di questo evento Microsoft ha evidenziato lo studio su oltre 1,2 milioni di account violati nel gennaio 2020: oltre il 99,9% di tali account violati non aveva la MFA (come evidenziato in figura).
Quando eseguiamo l’autenticazione in qualunque servizio informatico (un sito, un account aziendale, ecc.), dopo aver inserito il nostro username dobbiamo autenticarci (dare dimostrazione non equivoca della nostra identità).
L’autenticazione può esser eseguita con modalità diverse che tipicamente sono le seguenti tre:
Nella maggioranza dei casi l’autenticazione avviene con la sola password: si definisce quindi “autenticazione ad un fattore”.
Si parla invece di 2FA se si usano almeno due dei tre fattori sopra elencati.
Ma affinché si possa definire propriamente “autenticazione a due fattori” è necessario che i due fattori utilizzati siano generati attraverso due modalità differenti tra le tre possibili. Non è corretto quindi parlare di 2FA se l’autenticazione è fatta con due password (perché due fattori della stessa natura).
È possibile – anche se molto meno diffusa – anche l’autenticazione a tre fattori (3FA), ovviamente se vengono richiesti insieme tutti i tre fattori.
Viene impiegata nello SPID (il Sistema Pubblico di Identità Digitale) di Poste Italiane, che offre appunto i tre diversi livelli di autenticazione:
Anche Aruba offre lo SPID di livello 3.
Utilizzare la 2FA non è difficile e – come abbiamo detto – tutti i siti e servizi più importanti la prevedono, ma come opzione da attivare facoltativamente.
In questo utile sito è possibile consultare quali sono i servizi che la prevedono (e sono tanti!) e con quali opzioni alternative.
Quindi non abbiamo alcun motivo per non adottarla.
Dovremo accedere al servizio, facendo il login, poi entrare nella sezione del sito delle “Impostazioni di Sicurezza” (il nome può anche essere leggermente diverso, ma si tratta sempre della sezione dove andiamo, per esempio, a modificare la password).
Qui troveremo il menù dedicato all’autenticazione a due fattori, definita in alcuni casi “autenticazione forte”.
Una volta selezionata l’opzione “autenticazione a due fattori”, ci verrà chiesto la modalità con la quale vogliamo utilizzarla: in genere le soluzioni disponibili sono più di una, ma non tutte – come vediamo ora – ugualmente sicure.
Quasi sempre il primo fattore è comunque la password, mentre il secondo fattore potrebbe essere un codice numerico che, a differenza della password, viene generato in maniera pseudocasuale secondo uno specifico algoritmo (come spiegato in seguito) ed ha una durata molto limitata nel tempo (solitamente 30 secondi). Per questo motivo, lo si definisce anche OTP: “one time password”.
A differenza della password, che rimane invariata, questo secondo codice è di fatto inattaccabile, perché generato in maniera pseudocasuale e variato ogni 30÷60 secondi.
Il codice OTP può arrivare attraverso un SMS (meno frequentemente via email), oppure può essere generato mediante apposite applicazioni installate sul nostro smartphone. Siamo quindi nella modalità ”Una cosa che hai”.
Il codice OTP potrebbe anche essere generato da un Token hardware: una oggetto simile ad una chiavetta USB che fornisce il codice a tempo a seguito della pressione di un pulsante. In passato erano forniti dalle banche per accedere ai loro servizi di home bank, ma sono ormai abbandonati, in quanto non conformi alle nuove disposizioni della PSD2.
Sono considerati non sicuri, perché possono essere attivati senza alcun codice di sicurezza. Quindi in caso di furto o smarrimento, chiunque potrebbe utilizzarli.
Sono invece ammessi dalla PSD2 i codici OTP generati dalle app su smartphone.
Il motivo è spiegato chiaramente nella NIST SP 800-63B “Digital Identity Guidelines – Authentication and Lifecycle Management” (https://csrc.nist.gov/publications/detail/sp/800-63b/final): quando si usa una combinazione di due fattori di autenticazione, il secondo autenticatore deve essere basato sul possesso (cioè “qualcosa che hai”) e deve soddisfare il requisito di “garantire una resistenza all’impersonificazione”; in altre parole: impedire che qualcuno li possa usare al nostro posto. Questo è reso possibile perché lo smartphone richiede una procedura di sblocco per essere attivato.
Il secondo fattore può essere – in alternativa – di tipo biometrico (”una cosa che sei”). Ne abbiamo un esempio nelle applicazioni per smartphone che ci forniscono le banche: per aprire l’app ed anche per eseguire operazioni dispositive (p.es. fare un bonifico), ci viene richiesta la seconda autenticazione con l’impronta digitale o con il riconoscimento facciale.
Vediamo più in dettaglio quali sono le possibili alternative per il secondo fattore di autenticazione, presupponendo che il primo sia comunque la password. Per ciascuno esamineremo anche i vantaggi e gli svantaggi.
Nella pratica l’onere supplementare che ci viene richiesto è piuttosto modesto ed ampiamente ripagato dal notevole incremento in termini di sicurezza degli account.
L’attivazione della 2FA andrà fatta una volta sola.
Ai successivi login, dopo username e password, dovremo inserire il codice OTP a 6 cifre visualizzato dall’applicazione (o ricevuto via SMS) e che ogni 30 secondi verrà rigenerato.
Su molti siti è disponibile una comoda opzione chiamata in genere: “considera questo dispositivo attendibile” (o qualcosa di simile). Se la attiviamo (una tantum), nei login successivi – solo se eseguiti da quel dispositivo – non verrà più richiesto il codice OTP.
Questo non elimina la 2FA (che rimane attiva), né la rende meno sicura: poiché l’autenticazione a due fattori è finalizzata ad evitare accessi da computer o dispositivi diversi dai nostri, potremo fare in modo che il sito riconosca che stiamo facendo il login dal nostro “abituale” dispositivo e non ci richieda più il secondo fattore di autenticazione.
Continuerà a richiederlo, viceversa, se il login viene tentato da un dispositivo non riconosciuto come affidabile.
Articolo a cura di Giorgio Sbaraglia
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…