Autenticazione a due fattori

closeQuesto articolo è stato pubblicato 1 anno 1 mese 26 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi.

No, non servono due persone che lavorano in aziende agricole per accedere a una servizio.

Ha suscitato scalpore la notizia che quella strana persona che dirige Twitter ha deciso di togliere l’autenticazione a due fattoria via SMS per chi non paga.

A me ha suscitato più terrore quando ho letto che meno del 3% degli utenti di Twitter usa l’autenticazione a due fattori.

Messaggio per te che stai leggendo: se non lo hai fatto, prenditi del tempo e attiva l’autenticazione a due fattori (abbreviata in 2FA), fai un giro su tutti i siti dove sei registrato e attivala. Qui sotto troverai un po’ di informazioni.

Cos’è la 2FA?

È un secondo livello di accesso. Per accedere a un servizio, oltre a utente e password, ti viene chiesto di fornire un’altra informazione, spesso sotto forma di stringa numerica che cambia nel tempo, generata da un dispositivo che hai con te.

Ti viene chiesto “chi sei”, “una cosa che sai” e “una cosa che hai”

In questo modo se qualcuno ti ruba la password o questa esce a causa di un Data Breach, il malintenzionato, per accedere al tuo account, dovrà avere anche il secondo step, che non ha, in quanto è un dispositivo che hai tu in tasca.

CHe tipologie di 2FA ci sono?

Ogni sito o servizio che implementa la 2FA deve fare in modo che l’utente che accede possa avere a disposizione un sistema che generi la seconda password temporanea. Poi lo abilita con una semplice procedura.

Il messaggio SMS

Se si usa il messaggio SMS è facile: gli si fornisce il numero, mandano un messaggio di conferma ed è attivo. Usare gli SMS è facile ed immediato, ma c’è un problema con la sicurezza, a causa dell’attacco di SIM swapping, dove qualcuno va a farsi dare una nuova SIM e riesce a metterci il tuo numero sopra, attività mitigata in Italia, ma non impossibile. Ne ho parlato nella puntata 109 di Pillole di Bit
Il secondo problema è che se siete in un posto dove non c’è segnale almeno GSM del vostro operatore o lui non è in roaming, il messaggio SMS non arriva.

L’app di autenticazione

Si può usare un’app con il protocollo TOTP (puntata 251 di PdB). Il sito vi fa vedere un QRcode (puntata 76 di PdB) e l’app inizia a generare numeri casuali.
Le app più usate sono Google Authenticator, Microsoft Authenticator e Authy

Google Authenticator non fa il backup del seme di autenticazione nel cloud, ma permette di esportare tutti o anche solo uno dei semi con un QRcode.

Microsoft Authenticator fa il backup dei dati nel cloud

Authy è la più complessa, permette di fare il backup sul loro cloud e di scaricarli da un’altra parte, per esempio avendo più app, su più dispositivi, anche su PC.

È importante sapere che se si è attivata la 2FA e poi si perde il dispositivo su cui sono memorizzati i generatori, entrare nei propri profili diventa molto complesso. È quindi bene salvarsi il QRcode o la stringa che si vede facendo click sul link “non riesco a fare la foto” o una cosa del genere in un posto sicuro, diverso da quello dove salvate regolarmente le password.

Il QRcode può essere usato per attivare un numero infinito di applicazioni TOTP, per esempio, se avete degli account aziendali condivisi e non usate la delega, tutte le persone che hanno la password faranno la foto al QRcode con il proprio telefono per avere il secondo fattore sempre disponibile. Se una delle persone perde il diritto di accedere a quella risorsa sarà necessario disattivare e riattivare la 2FA per quell’account in modo da generare un nuovo QRcode/seme

Molti password manager permettono di salvare la 2FA accanto alla propria password, a me non piace, dovessero mai bucarmi il password manager avrebbero password e 2FA, un disastro.

Il dispositivo hardware

Esistono dei dispositivi hardware, solitamente USB e/o NFC, (puntata 156 di PdB) specifici per fare da secondo fattore. Al posto di avere l’app, si attiva un dispositivo hardware. All’accesso, dopo aver inserito la password, verrà chiesto di collegare la chiavetta e toccare il bottone (non è un lettore di impronte). Questo validerà il tutto. Io uso la Yubikey

Ovviamente se la chiavetta viene smarrita, addio accesso, ma io ho sia la chiavetta che l’app, ad esempio.

L’app di conferma

Questa è una delle cose più semplici, ma non tutti la usano. Si installa un’app sul telefono e la si valida autenticandosi. Quando si accede con l’account, l’app mostra una notifica e, aprendola basta confermare l’accesso con un tap sul Sì, su un codice che viene visualizzato anche sullo schermo dove si sta cercando di fare accesso o con l’autenticazione interna del telefono (impronta o faccia).
Se non avete attivato la 2FA manualmente, tutte le caselle di posta di Gmail forzano questo tipo di autenticazione “rinforzata”.

Non rimanere chiusi fuori

Il rischio della 2FA senza SMS è che se si perde il telefono con l’app o la chiavetta di autenticazione è un mezzo disastro recuperare l’accesso. Ma ci sono i modi per il recupero.

All’attivazione della 2FA vi vengono dati dei codici di backup. Archiviateli in un posto sicuro, diverso dal vostro password manager, ma facilmente raggiungibile, per i casi di emergenza (che capitano nel momento peggiore, tipo quando siete in vacanza all’estero). Questi codici, che sono validi per un solo uso, sostituiscono la chiavetta o l’app.

Salvate il QRcode che vi fa vedere il sito per l’attivazione o la relativa stringa, anche questo, con le stesse regole dei codici di backup.

Fatto questo siete molto più sicuri e tranquilli.

Ah, un’ultima cosa: la 2FA viene solitamente chiesta se vi collegate a un dispositivo nuovo, non ad ogni accesso (poi dipende dal gestore del sistema), usarla non è tedioso.

Ciao! Grazie per aver letto questo post!
Se vuoi rimanere in contatto con me e commentarlo, mi trovi in giro per Internet, seguendo questi link:
– Il canale Telegram dedicato ai commenti “Le Cose
– Sul mio podcast Pillole di Bit e relativo gruppo Telegram
Twitter (se non chiude) e Mastodon

Nota importante, da leggere prima di commentare

Questo è un blog scritto per passione, non fornisco quindi risposte di tipo professionale, se avete bisogno di un aiuto tecnico rivolgetevi ad un professionista di fiducia, non offendetevi se mi astengo dal rispondere. Vi ringrazio per la comprensione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.