Che cos'è l'autenticazione a due fattori (2FA)

L'autenticazione a due fattori, o verifica in due passaggi, è una misura di sicurezza che richiede due forme distinte di identificazione (dette anche fattori) prima di concedere l'accesso a un sistema o a un servizio. Il secondo fattore di autenticazione aggiunge un ulteriore livello di protezione, rendendo più difficile l'accesso non autorizzato.

In genere, l'autenticazione utente richiede solo un indirizzo e-mail o un nome utente e una password. Anche se ciò implica una combinazione delle credenziali di accesso, tecnicamente è ancora un solo fattore di autenticazione.

Inoltre, senza una rigorosa salvaguardia delle password, è fin troppo facile per i criminali informatici aggirare la sicurezza e compromettere account, applicazione o risorse online. Se fossero in grado, non possiamo dire quante informazioni sensibili potrebbero raccogliere.

In breve, ecco perché la 2FA ha assunto un ruolo prominente. Non solo riduce il rischio di violazione dei dati, ma protegge anche dipendenti e consumatori dal furto di identità e da altre minacce.

Fattori di autenticazione 2FA

Un fattore di autenticazione è un identificatore univoco associato a un utente specifico. La maggior parte dei sistemi a 2FA sfrutta due dei tre fattori di autenticazione classici:

• Fattore di conoscenza: qualcosa che solo l'utente può conoscere, ad esempio password, PIN o la risposta a una domanda di sicurezza.
• Fattore di possesso: qualcosa che solo l'utente può avere, ad esempio token di sicurezza, dispositivo mobile o carta d'identità.
• Fattore di inerenza: qualcosa che solo l'utente può essere. Come forma di autenticazione biometrica per verificare l'identità, utilizza il riconoscimento facciale, le impronte digitali e la scansione dell'iride.

Oltre a quelli citati in precedenza, molte delle soluzioni all'avanguardia di oggi sfruttano due nuovi fattori di autenticazione adattiva:

• Comportamento: vengono analizzati gli artefatti digitali relativi ai modelli comportamentali. Ad esempio, i sistemi 2FA possono considerare sospetto un tentativo di accesso se proviene da un nuovo telefono cellulare anziché dal dispositivo attendibile dell'utente.
• Luogo: questo fattore valuta l'area geografica dell'utente, analizzando l'indirizzo IP e la posizione GPS.

in genere, le organizzazioni possono configurare i sistemi 2FA per richiedere una combinazione dei fattori precedenti. Gli utenti devono inviare correttamente le informazioni richieste, sia attivamente sia passivamente, per accedere al proprio account, servizio o sistema online.

2FA rispetto a MFA

Dato che teoricamente è possibile aggregare un numero qualsiasi di identificatori, perché fermarsi a due? In breve, questa è l'idea alla base dell'autenticazione multifattoriale (MFA). 

L'autenticazione multifattoriale (MFA) è un'estensione della 2FA, che coinvolge due o più fattori di autenticazione. In poche parole, quest'ultima è un sottoinsieme del primo.

Una differenza fondamentale tra i due è che la MFA può essere più adattiva. In altre parole, può applicare dinamicamente la verifica rafforzando, richiedendo agli utenti di fornire un terzo fattore di autenticazione in base al contesto.

Sebbene la 2FA possa rappresentare una misura di sicurezza efficace, la MFA è spesso una soluzione più completa. Ecco perché, secondo un sondaggio condotto tra professionisti IT, l'83% delle aziende richiede ai dipendenti di utilizzare la MFA per accedere a ogni risorsa aziendale.

Casi d'uso

L'autenticazione a due fattori è la forma più diffusa di autenticazione multifattoriale, il che la rende perfetta per i casi d'uso in cui diverse persone devono accedere ai dati. Ad esempio, le applicazioni sanitarie utilizzano comunemente 2FA perché consente a medici e al personale sanitario di accedere ai dati sensibili dei pazienti su richiesta, spesso da dispositivi personali.

Altre applicazioni del settore degne di nota comprendono:

• Finanza: banche e altri istituti finanziari utilizzano la 2FA per proteggersi dai furti di identità e dalle frodi, consentendo ai clienti di accedere ai propri conti online garantendo servizi bancari mobili online sicuri.
• Pubblica amministrazione: negli Stati Uniti, la 2FA è obbligatoria per tutti i siti web dei governi federali, e garantisce che le informazioni sensibili e i dati dei cittadini rimangano al sicuro.
• Istruzione superiore: le università si affidano alla 2FA per proteggere i portali degli studenti su cui vengono archiviati voti, orari e informazioni personali.
• Social media: piattaforme come Facebook e X (ex Twitter) offrono servizi 2FA per salvaguardare le informazioni personali e migliorare la sicurezza degli account.

Il processo 2FA è semplice. Le specifiche possono variare a seconda del metodo di autenticazione, ma il flusso di lavoro di base è il seguente:

• Accesso utente: l'utente inserisce i propri nome utente e password.
• Richiesta di autenticazione: se l'accesso primario funziona, il sistema attiva un secondo fattore di autenticazione.
• Verifica dei fattori: l'utente fornisce il secondo fattore, ad esempio un token o un passcode monouso generati da un'app di autenticazione.
• Accesso garantito: se entrambi i fattori sono verificati, l'utente ottiene l'accesso al sistema. In genere, ciò avviene in pochi secondi con un effetto praticamente nullo sull'esperienza dell'utente.

Metodi di autenticazione a due fattori

Esistono diversi modi con i quali un sistema 2FA può richiedere i fattori di autenticazione. Ciascuno ha pregi e difetti ma tutti rappresentano un passo avanti verso una maggiore sicurezza dell'account.

Diamo uno sguardo ai metodi di autenticazione più comuni, al loro funzionamento e al valore che apportano:

Autenticazione via e-mail e SMS

Questo metodo invia all'utente un passcode monouso (OTP) alla casella di posta elettronica o come SMS sul suo telefono cellulare. In breve, un OTP è un codice di verifica da 5 a 10 cifre che, se inserito correttamente, garantisce l'accesso alla risorsa richiesta.

L'autenticazione via SMS è una delle soluzioni più pratiche e semplici da usare. Inoltre, data la disponibilità dei dispositivi mobili, per gli utenti è facile iniziare.

Tuttavia, questo sistema è anche vulnerabile alle minacce informatiche. Gli hacker possono intercettare facilmente gli SMS, che spesso non sono crittografati. Inoltre, se un utente malintenzionato ottiene l'accesso fisico al telefono cellulare della vittima, può leggere direttamente le OTP.

Token hardware

Un token hardware è un dispositivo fisico, ad esempio, una chiave di sicurezza, una smart card o una chiave di protezione USB. Questo genera dinamicamente un token univoco, solitamente valido solo per un tempo limitato.

Durante l'accesso, l'utente preme un pulsante sul token, che utilizza un algoritmo e crea una OTP. L'utente inserisce questo codice di verifica nella richiesta di autenticazione sul proprio dispositivo o sulla propria applicazione. Il server, utilizzando lo stesso algoritmo e la stessa chiave di sicurezza, genera la propria OTP e la confronta con quella inserita dall'utente. Se corrispondono, l'utente viene autenticato e gli viene concesso l'accesso. Questo processo garantisce che, anche in caso di compromissione della password, viene impedito l'accesso non autorizzato senza il token fisico.

Tuttavia, lo svantaggio più ovvio è che l'autenticazione tramite token hardware non è sempre comoda o applicabile a tutti i casi d'uso. La configurazione e la manutenzione possono essere costose, inoltre i dispositivi si possono smarrire o possono essere rubati.

Token software

Il token software è una OTP basato sul tempo o sugli eventi inviato tramite un'app di autenticazione sul computer o sul telefono cellulare dell'utente. Questo metodo, come un token hardware, genera dinamicamente un codice di verifica che dura solo un breve periodo di tempo.

Nel complesso, è un processo semplice e intuitivo, ma richiede all'utente di scaricare un software aggiuntivo sui propri dispositivi.

Notifica push

La notifica push verifica l'identità dell'utente inviando un avviso direttamente a un'app per dispositivi mobili sicura sul suo dispositivo affidabile. Questo messaggio contiene dettagli sul tentativo di autenticazione e consente all'utente di approvare o negare la richiesta di accesso con un solo tocco.

In teoria, questo processo conferma che il dispositivo registrato sull'app di autenticazione è in possesso dell'utente. Le notifiche push eliminano il rischio di attacchi man-in-the-middle, garantendo la sicurezza dell'account. Questo metodo di 2FA è altamente sicuro, ma dipende dalla connettività internet.

Autenticazione biometrica

Infine, esistono varie forme di autenticazione senza password, in particolare l'autenticazione biometrica. Detto semplicemente, l'autenticazione biometrica verifica l'identità utilizzando i tratti biometrici.

Ad esempio, gli utenti di iPhone hanno familiarità con il riconoscimento facciale, che può essere utilizzato, tra gli altri servizi, per accedere alle informazioni sull'account ID Apple. Altri sistemi utilizzano la scansione delle impronte digitali, dell'iride o della retina.

Questa, a sua volta, è innegabilmente una delle opzioni 2FA più sicure a disposizione. Non solo sfrutta l'utente come token, ma è anche estremamente pratica e quasi impossibile da decifrare.

In poche parole, la 2FA rappresenta un importante passo avanti rispetto alla condizione attuale. La sicurezza basata su password non è più sufficiente per proteggere account, siti web e servizi da accessi non autorizzati.

Guardiamo ora alcune statistiche interessanti.

• Oltre 24 miliardi di combinazioni di nome utente e password circolano nel dark web. Tra il 2020 e il 2022, questo numero è aumentato del 65% ed è probabile che continui a crescere. Poiché che la maggior parte delle persone riutilizza le vecchie password, una singola violazione dei dati potrebbe compromettere più account contemporaneamente.
• Il report di Google del 2023 sull'orizzonte dell e minacce found that 86% of breaches involved stolen credentials. In altre parole, rappresentano quasi sempre la causa principale di minacce informatiche molto più grandi e devastanti.
• Il report di Verizon del 2024 sulle indagini sulla violazione dei dati ha concluso che l'"elemento umano", come le password deboli, ha causato il 68% delle violazioni segnalate.

Peggio ancora, anche con una rigorosa salvaguardia delle password, non è molto difficile violare un account. Ad esempio, gli hacker possono facilmente navigare sui social media per trovare le informazioni personali necessarie per rispondere a una domanda di sicurezza di base.

Ecco le buone notizie: 2FA e MFA possono aiutarti. In effetti, riducono efficacemente una serie di minacce informatiche, tra cui:

• Password rubate: Come accennato in precedenza, la scarsa salvaguardia delle password semplifica il furto delle credenziali. La 2FA garantisce che non sia sufficiente una password rubata per violare un account.
• Attacchi di forza bruta: Gli hacker utilizzano una potenza di calcolo sempre più accessibile per generare casualmente le password fino a "craccarne" il codice. Ma la potenza di calcolo non può violare un secondo fattore.
• Phishing: Quando un nome utente e una password vengano rubati tramite un attacco di phishing, la 2FA protegge dall'accesso non autorizzato.
• Ingegneria sociale: Gli hacker più abili utilizzano sempre più spesso i social media per sferrare attacchi che inducono gli utenti a fornire volontariamente le proprie credenziali. Ma senza il secondo fattore, questi sforzi sono inutili.

2FA e Zero Trust

L'autenticazione forte è una parte fondamentale della gestione dell'identità e dell'accesso (IAM) e, di conseguenza, dell'architettura Zero Trust. La 2FA può aiutare le aziende a implementare Zero Trust applicando rigorosamente la verifica dell'identità, basando le decisioni di accesso non solo sul ruolo o sulle autorizzazioni dell'utente, ma sul dispositivo, sul comportamento, sulla posizione e su altri elementi ancora.

Stai valutando l'autenticazione a due fattori? Ecco d seguito alcuni passaggi chiave da considerare.

1. Scelta dei fattori di autenticazione corretti

All'interno di ciascun tipo di autenticatore, in ogni caso, esistono molte opzioni diverse tra cui scegliere e nuove tecnologie in continuo sviluppo. Come scegli i fattori da utilizzare per il tuo protocollo 2FA?

Ecco alcune domande che ti aiuteranno a fare la scelta giusta:

• Vuoi che l'autenticazione per l'utente sia chiara?
• Desideri che l'utente porti con sé un dispositivo fisico o che si autentichi online?
• Desideri che il sito web si autentichi anche per l'utente?
• Quale livello di sensibilità hanno le informazioni che stai proteggendo e qual è il rischio associato?
• L'accesso fisico (collegamento) a uffici, laboratori o ad altre aree, fa parte dei requisiti dell'utente?

Noi di Entrust supportiamo la più ampia gamma di autenticatori di sicurezza 2FA, consentendoti di scegliere l'opzione migliore per soddisfare le tue esigenze di sicurezza e i tuoi casi d'uso. Ma soprattutto, Entrust è in grado di fornire una guida esperta e di consulenza per aiutarti a selezionare le opzioni giuste e semplificare il tuo passaggio all'autenticazione a due fattori ad alta sicurezza.

2. Strategia dell'esperienza utente (UX)

Anche se la 2FA rappresenta generalmente un flusso di lavoro agevole, non desideri certo sovraccaricare i tuoi utenti con scomodi passaggi aggiuntivi. L'esperienza utente è particolarmente importante per l'onboarding digitale, dato che un processo complicato può allontanare i clienti dall'apertura del conto.

Cerca una soluzione 2FA che bilanci sicurezza, velocità ed esperienza utente.

3. Proteggi la tua infrastruttura a 2FA

Assicurati che le comunicazioni che trasmettono codici o token 2FA siano crittografate utilizzando protocolli di crittografia sicuri, come Transport Layer Security.

4. Prendi in considerazione l'autenticazione adattiva

A seconda del caso d'uso, ti può servire una soluzione più robusta e multifattoriale. L'autenticazione adattiva, o verifica rafforzata basata sul rischio, rappresenta un modo dinamico per confermare l'identità. Poiché è un metodo sensibile al contesto, adatta il livello e il tipo di autenticazione richiesti in base al rischio percepito.

Ad esempio, l'MFA adattivo può richiedere un nome utente e una password solo se tutte le condizioni appaiono normali. Tuttavia, se l'accesso proviene da un indirizzo IP anomalo, può richiedere sfide progressive, come un codice di verifica una tantum. Bilancia sicurezza e comodità, consentendo agli utenti legittimi di accedere alle risorse con il minimo sforzo e applicando misure più rigorose in caso di attività sospette.

Entrust Identity, il nostro portafoglio IAM unificato, può fornire le basi che servono alla tua organizzazione per ottenere un'architettura Zero Trust efficace. Grazie alla nostra suite di strumenti di sicurezza, puoi sfruttare:

• Identity as a Service: soluzioni IAM basate su cloud con MFA resistente ai tentativi di phishing, autenticazione senza password e Single Sign-On (SSO).
• Identity Enterprise: Funzionalità IAM locali con autenticazione ad alta garanzia della forza lavoro e dei consumatori, inclusa l'emissione di smart card.
• Identity Essentials: Soluzione di autenticazione multifattoriale (MFA) rapida ed economica, che consente alle organizzazioni basate su Windows di realizzare un approccio Zero Trust.