Che cos’è e come funziona l’autenticazione a due fattori?

Ecco un breve approfondimento sull’autenticazione a due fattori e su come possa risultare importante per evitare violazioni delle proprie credenziali informatiche.

Ricordiamo che l’autenticazione è l’atto di confermare la verità di un attributo di una singola parte di dato o di una informazione sostenuto vero da un’entità. In contrasto con l’identificazione, che si riferisce all’atto di confermare l’identità di una persona o qualcosa, l’autenticazione è il processo di confermare davvero l’identità.

Si definisce in informatica il processo tramite il quale un sistema informatico, un computer, un software o un utente verifica la corretta, o almeno presunta, identità di un altro computer, software o utente che vuole comunicare attraverso una connessione, autorizzandolo ad usufruire dei relativi servizi associati.

È il sistema che verifica, effettivamente, che un individuo è chi sostiene di essere.

Che cos’è l’autenticazione a due fattori?

L’autenticazione a due fattori, anche conosciuta con la definizione di Strong Customer Authentication (SCA) è un sistema di protezione dei propri account e prevede, per una maggiore sicurezza, l’utilizzo – appunto – di più fattori a completamento del processo di autenticazione dell’utente.

L’autenticazione a due fattori tutela tutti noi dal furto di credenziali, rendendo più sicura la nostra vita online. Ad esempio, nel caso un hacker rubasse le vostre password, avrebbe comunque bisogno di un ulteriore codice per accedere al vostro account.

Un’autenticazione a due fattori viene detta “autenticazione forte” (strong authentication) mentre l’uso di un solo fattore, come una password, viene considerato un’autenticazione debole.

Come funziona l’autenticazione a due fattori?

L’autenticazione a due fattori si basa, sostanzialmente, su tre diversi tipi di convalida:

• la prima riguarda dati che l’utente conosce, come una password o un PIN;
• la seconda è riferita ad uno strumento in possesso dell’utente, come ad esempio uno smartphone o un token di sicurezza;
• la terza, infine, è inerente ad una cosa che l’utente è, come l’impronta digitale, il timbro vocale o altri dati biometrici.

Dopo aver inserito il proprio username e il primo tipo di convalida – ovvero la password – il sistema richiede all’utente di utilizzare un ulteriore fattore per avere accesso all’account.

In genere quella più utilizzata è la seconda tipologia di convalida che prevede l’inserimento di un codice numerico che l’utente riceve tramite un sms sul proprio smartphone oppure mediante l’utilizzo di un token di sicurezza.

Serve a difendersi da cosa?

In genere aiuta a difendesi da coloro che effettuano attacchi informatici per ottenere informazioni (come credenziali) o altro a scopo di lucro a carico delle vittime. Gli attacchi informatici sono tutte quelle azioni che ledono la confidenzialità, la disponibilità e l’integrità del computer o dei dati che esso contiene.

Social media scammers

Sono coloro che cercano di ottenere le credenziali degli utenti sui social media attraverso delle tecniche di inganno.

Le tecniche più utilizzate sono:

• spam sugli account con link malevoli a contenuti,
• promozioni,
• apps.

Phishing

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso.

Nella grande maggioranza dei casi, i criminali informatici ambiscono ad ottenere credenziali d’accesso di istituti bancari o sistemi di pagamento online, ma non solo: anche altri dati personali possono rivelarsi assai utili per le loro finalità criminali e non è raro che i malviventi si facciano persino vivi per richiedere al malcapitato il pagamento di una somma di denaro affinché possa recuperare un suo account.

Lo spam

Infine lo spam (o spamming) indica l’invio anche verso indirizzi generici, non verificati o sconosciuti, di messaggi ripetuti ad alta frequenza o a carattere di monotematicità tale da renderli indesiderati. Per questo è spesso assimilabile al termine “posta spazzatura”.

Riconoscere lo spam e il suo significato per la nostra sicurezza è uno dei primi modi per evitare conseguenze spiacevoli.

Può essere attuato attraverso qualunque sistema di comunicazione, ma la via preferità è ovviamente quella dei media digitali e dei social network.

Il più delle volte gli spammer risalgono a dati personali da più fonti:

• direttamente da Internet
• acquistando banche dati da agenzie private
• o raccogliendo i nostri dati che forniamo direttamente, senza nemmeno rendercene conto.