L’autenticazione a due o più fattori, definita anche “strong authentication” o 2FA e MFA (Two-Factor Authentication e Multi-Factor Authentication) non dovrebbe più essere un’opzione, ma rappresentare una necessità che chiunque dovrebbe adottare sui propri account, personali o aziendali.

Dovrebbe essere noto a tutti che la sicurezza degli account dipende dalla forza della password.

Ma questo non può bastare, perché qualunque password – per quanto forte sia – potrebbe essere rubata o scoperta, magari grazie a tecniche di social engineering, con email di phishing, oppure mediante keylogger. Inoltre, qualunque account potrebbe risultare vulnerabile agli attacchi di tipo brute-force.

Per questo motivo, un’autenticazione basata solo su password è intrinsecamente debole, perché la sicurezza dell’account dipende, appunto, da un solo fattore.

Il rischio di compromissione dell’account è inoltre aumentato dalla pessima abitudine di molto utenti di utilizzare la stessa password su sistemi e account differenti.

Attivando un sistema di autenticazione a due fattori questo tipo di rischi viene assai ridotto. Anche entrando in possesso delle credenziali dell’utente con tecniche di social engineering, l’attaccante non avrebbe comunque accesso al fattore di seconda autenticazione.

Purtroppo, l’autenticazione a due fattori risulta essere ancora poco conosciuta e poco adottata dalla maggioranza degli utenti.

Lo segnala il recente rapporto “THE 3RD Annual Global Password Security Report” pubblicato da LastPass, uno dei più noti password manager realizzato da LogMeIn.

Il rapporto indica che l’uso complessivo della MFA è in aumento nel mondo, soprattutto in ambito business, ma questo trend virtuoso non si registra in alcune nazioni, tra cui l’Italia.

Come spesso accade quando si tratta della cyber security, vediamo che l’Italia si colloca all’ultimo posto in questa classifica: solo il 20% degli utenti delle aziende hanno attivato la MFA.

Come si realizza l'autenticazione a due fattori

Nella maggior parte dei casi l’autenticazione utilizza un solo fattore che in genere è una password. Se si utilizza la 2FA, i fattori per l’autenticazione devono utilizzare due dei seguenti:

1. qualcosa che l'utente conosce: generalmente si tratta di una passowrd, ma può essere qualsiasi informazione conosciuta soltanto dall'utente;
2. qualcosa che possiede l'utente:potrebbe essere lo smartphone, una chiave hardware, una chiavetta USB o un token fornito dalla banca
3. qualcosa che è parte dello stesso utente: trattasi tipicamente di un dato biometrico come le impronte digitali,la voce, l'iride
4. qualche luogo in cui si trova l'utente: questa quarta modalità di autenticazione viene talvolta utilizzata dai gestori delle carte di credito,per verificare se la posizione dell'utente è compatibile con il pagamento che sta eseguendo

Si ha la 2FA/MFA se si usano almeno due dei fattori sopra elencati. Ma non basta: la condizione affinché si possa definire “autenticazione a due fattori” si verifica solo quando i due fattori utilizzati sono di matrice differente: in altre parole se, per esempio, si usa “Una cosa che sai” + ” Una cosa che hai”.

Mentre non può essere considerata 2FA un’autenticazione fatta con due password (perché due fattori della stessa natura).

Utilizzando almeno due dei fattori di autenticazione appena visti, le probabilità che un attaccante riesca ad avere accesso ad entrambi i componenti sono statisticamente molto basse.

Uno studio presentato da Microsoft alla RSA Conference 2020 di San Francisco ha dimostrato come, su un campione di oltre 1,2 milioni di account compromessi, oltre il 99,9% di questi non aveva attivato la MFA.

Consigliamo di adottarla sempre per i siti ed account più importanti, quali gli account e-mail, quelli aziendali come la VPN e anche per i propri profili social.