Autenticazione a due fattori: come e perché utilizzarla

Potresti non rendertene conto, ma usi regolarmente l'autenticazione a due fattori. Quando fai scorrere la tua carta di debito e ti viene chiesto di inserire il tuo codice PIN o di scrivere un assegno e ti viene chiesto di mostrare la patente di guida? Ciascuno è una forma di autenticazione a due fattori. Il primo esempio richiede di possedere la tua carta e conoscere il tuo codice PIN. Il secondo richiede di possedere il libretto degli assegni e dimostrare che il tuo volto corrisponde alla foto segnaletica sul tuo documento d'identità.

L'autenticazione a due fattori richiede due modi per dimostrare la tua identità e può anche essere utilizzato per proteggere i tuoi vari account online. Non offre una sicurezza perfetta e richiede un passaggio in più per accedere ai tuoi account, ma rende i tuoi dati più sicuri online.

In che modo l'autenticazione a due fattori funziona online?

L'autenticazione a due fattori (2FA), nota anche come verifica in due passaggi o autenticazione multifattoriale, è ampiamente utilizzata per aggiungere un livello di sicurezza agli account online. La forma più comune di autenticazione a due fattori quando si accede a un account è il processo di immissione della password e quindi la ricezione di un codice tramite il testo sul telefono che è necessario immettere. Il secondo livello nell'autenticazione a due fattori significa che un hacker o un altro nefande individuo avrebbe bisogno di rubare la password insieme al telefono per accedere al tuo account.

Esistono tre tipi di autenticazione:

  • Qualcosa che conosci: password, PIN, codice postale o risposta a una domanda (nome da nubile della madre, nome dell'animale domestico e così via)
  • Qualcosa che hai: un telefono, una carta di credito o un portachiavi
  • Qualcosa che sei: un biometrico come un'impronta digitale, una retina, una faccia o una voce

Come funziona il secondo fattore?

Dopo aver inserito la password, il primo fattore di autenticazione, il secondo fattore di solito arriva tramite SMS. Cioè, riceverai un testo con un codice numerico che dovrai quindi inserire per accedere al tuo account. A differenza di un codice PIN per una carta di debito, un codice 2FA viene utilizzato una sola volta; ogni volta che accedi a quell'account, ti verrà inviato un nuovo codice.

In alternativa, puoi utilizzare un'app di autenticazione dedicata per ricevere i codici anziché averli inviati per te. Le app di autenticazione più diffuse sono Google Authenticator, Authy e DuoMobile.

Dovrei usare SMS o un'app?

Molti siti e servizi, tra cui Amazon, Dropbox, Google e Microsoft, ti offrono la possibilità di utilizzare SMS o un'app di autenticazione. Twitter è l'esempio più grande di un sito che ti obbliga a utilizzare SMS. Se hai la possibilità, usa un'app di autenticazione.

La ricezione di codici tramite SMS è meno sicura rispetto all'utilizzo di un'app di autenticazione. Un hacker potrebbe intercettare un messaggio di testo o dirottare il tuo numero di telefono convincendo il tuo operatore a trasferirlo su un altro dispositivo. Oppure, se sincronizzi messaggi di testo con il tuo computer, un hacker potrebbe ottenere l'accesso ai codici SMS rubando il tuo computer.

Un'app di autenticazione ha il vantaggio di non dover fare affidamento sul tuo operatore; i codici vengono inviati al telefono in base a questo segreto condiviso e all'ora corrente. I codici scadono rapidamente, di solito dopo 30 o 60 secondi. Dal momento che un'app di autenticazione non ha bisogno del tuo operatore per trasmettere i codici, rimarranno con l'app anche se un hacker riesce a spostare il tuo numero su un nuovo telefono. Un'app di autenticazione funziona anche quando non hai un servizio cellulare, un altro bonus.

L'utilizzo di un'app di autenticazione richiede un po 'di setup extra ma offre una protezione migliore rispetto agli SMS. Per configurare un'app di autenticazione, è necessario installare l'app sul telefono e quindi configurare un segreto condiviso tra l'app e i propri account. Questo di solito viene fatto tramite la scansione di un codice QR con la fotocamera del telefono. Una volta impostata, tuttavia, un'app di autenticazione ti consente di evitare di dover inserire un codice; devi semplicemente toccare le notifiche dell'app per accedere a uno dei tuoi account.

Cosa succede se non ho il mio telefono su di me?

Molti servizi online come Dropbox, Facebook, Google e Instagram ti consentono di creare codici di backup, che puoi stampare o screenshot. In questo modo se perdi il telefono o non hai un segnale cellulare, puoi utilizzare un codice di backup come secondo fattore di autenticazione per accedere. Assicurati di conservare la stampa dei codici di backup in un luogo sicuro.

2FA renderà i miei account più sicuri?

Nessun prodotto di sicurezza può pretendere di offrire una protezione perfetta e infallibile, ma combinando due dei tre tipi di autenticazione sopra citati, 2FA rende più difficile l'accesso al tuo account. Non solo rendi i tuoi account più difficili da attaccare, ma rendi anche i tuoi account obiettivi meno allettanti.

Pensaci in termini di protezione della casa. Se hai un sistema di sicurezza domestica, abbassi le probabilità di un furto. Se hai un cane forte e grosso, diminuisci anche le probabilità di un furto. Se unisci un sistema di sicurezza a un grosso cane, la tua casa diventa ancora più difficile da penetrare e un bersaglio meno attraente. La maggior parte dei ladri troverà semplicemente un segno più facile - uno senza un allarme e il potenziale per un morso di cane.

Allo stesso modo, l'autenticazione a due fattori impedisce a una gran parte di hacker di prendere di mira il tuo account; molti semplicemente andranno avanti e troveranno account più facili da penetrare. E se ti bersagliano, avranno bisogno di qualcosa di più della tua password. Oltre alla tua password, un hacker dovrebbe avere anche il tuo telefono - o ottenere l'accesso ai token posizionati sul tuo telefono dal meccanismo di autenticazione tramite un attacco di phishing, malware o attivazione del recupero dell'account in cui la password viene reimpostata e 2FA è quindi Disabilitato. Questo è un lavoro extra.

2FA è una seccatura da usare?

Non so se lo chiamerei un problema, ma 2FA richiede un passaggio in più quando si accede ai propri account. Dovrai inserire la password, attendere l'arrivo di un codice tramite SMS, quindi inserire quel codice. Oppure, se utilizzi un'app di autenticazione, devi attendere l'arrivo della notifica che puoi quindi toccare per verificare che sei tu.

Io uso l'autenticazione 2FA su molti dei miei account online e trovo meno fastidi da usare rispetto all'utilizzo di una password complessa o di una passphrase che combina lettere maiuscole e minuscole, numeri e simboli. E mentre sono sull'argomento delle password complesse, lasciatemi dire che usare 2FA come scusa per usare password più deboli e facili da inserire è una cattiva idea. Non indebolire il tuo primo fattore solo perché hai aggiunto un secondo fattore.

Come abilitare 2FA?

Molti siti e servizi offrono 2FA ma lo chiamano con una varietà di nomi. Di seguito sono riportati i primer rapidi per abilitare l'autenticazione a due fattori su alcune delle destinazioni online più popolari.

Amazon

Accedi al tuo account Amazon, fai clic su Account ed elenchi in alto a destra, quindi vai su Account> Accesso e impostazioni di sicurezza e fai clic sul pulsante Modifica per Impostazioni di sicurezza avanzate . Fai clic sul pulsante Guida introduttiva gialla e registrati per ricevere i codici tramite SMS o un'app autenticatore. Dovrai inoltre aggiungere un numero di telefono di backup per ridurre le probabilità di essere bloccato dal tuo account. Per ulteriori informazioni, consulta questa pagina della guida di Amazon.

Mela

Da un dispositivo iOS, vai su Impostazioni> iCloud, accedi se non lo sei già e poi tocca il tuo ID Apple. Dalla pagina ID Apple, tocca Password e sicurezza, quindi tocca Attiva autenticazione a due fattori . Su un Mac, puoi attivarlo selezionando Preferenze di sistema> iCloud> Dettagli account> Sicurezza e facendo clic su Attiva autenticazione a due fattori . Per ulteriori informazioni, consultare questa pagina di supporto Apple.

Dropbox

Fai clic sul tuo nome in alto a destra nel tuo account Dropbox e vai su Impostazioni> Sicurezza e vedrai uno stato elencato nella parte superiore della pagina per la verifica in due passaggi . Accanto allo stato Disabilitato, fai clic sul link (clicca per attivare) e poi su Inizia . Puoi quindi scegliere di ottenere i codici di verifica tramite il testo sul tuo telefono o un'app come Google Authenticator. Per ulteriori informazioni, consulta le istruzioni di Dropbox.

Facebook

Fai clic sul pulsante triangolo in alto a destra, vai in Impostazioni> Sicurezza e quindi fai clic su Modifica a destra di Approvazioni accesso . Quindi, fare clic su Abilita accanto a dove viene indicato che l' autenticazione a due fattori è attualmente disabilitata . Per ulteriori informazioni, consulta questa pagina della guida di Facebook.

Google

Vai alla pagina di verifica in due passaggi di Google, fai clic sul pulsante blu Inizia e accedi al tuo account. È possibile scegliere di ricevere codici tramite testo o una chiamata vocale. Puoi anche impostare e stampare codici di backup, aggiungere un numero di telefono di backup e configurare l'app Authenticator di Google. Puoi anche iscriverti per utilizzare il prompt di Google, che invia una notifica al tuo telefono che puoi semplicemente toccare invece di dover inserire un codice.

Instagram

Dall'app, vai alla pagina del tuo profilo e tocca l' icona a forma di ingranaggio in alto a destra per aprire il pannello Opzioni . Tocca Autenticazione a due fattori, quindi tocca per attivare Attiva il codice di sicurezza . Instagram ti invierà quindi un codice a sei cifre che dovrai inserire per abilitare la funzione. (Se il tuo account non ha un numero di telefono confermato, ti verrà chiesto di inserire il tuo numero.) Instagram ti invierà anche cinque codici di backup per lo screenshot. Per ulteriori informazioni, consulta questa pagina della guida di Instagram per le impostazioni dell'account e della notifica.

LinkedIn

Vai alla pagina Impostazioni di sicurezza di LinkedIn e fai clic su Aggiungi un numero di telefono se non lo hai già fatto per il tuo account. Con il tuo numero di telefono aggiunto, fai clic su Attiva accanto a dove dice che la verifica in due passaggi è disattivata, inserisci la password del tuo account e inserisci il codice di verifica inviato da LinkedIn al tuo telefono.

Microsoft

Vai alla pagina delle impostazioni di sicurezza, accedi con il tuo account Microsoft e fai clic su Imposta verifica in due passaggi . Puoi scegliere di ricevere codici via email, testo o tramite l'app Microsoft Authenticator. Dovrai inoltre creare una password per l'app per continuare a utilizzare i dispositivi e i servizi Microsoft che non supportano le 2FA come l'email Xbox 360 e Outlook.com su un iPhone o un telefono Android.

PayPal

Accedi al tuo account e fai clic sull'icona dell'ingranaggio in alto a destra per accedere alle Impostazioni . Fare clic sulla scheda Sicurezza e quindi su Aggiorna accanto a Chiave di sicurezza. Inserisci il tuo numero di cellulare e inserisci il codice di verifica che ti viene inviato da PayPal.

allentato

Accedi alla tua squadra e vai alla pagina del tuo account su my.slack.com/account/settings. Fare clic sul pulsante Espandi a destra di Autenticazione a due fattori e quindi fare clic su Imposta autenticazione a due fattori . È possibile iscriversi per ricevere il codice tramite SMS o un'app di autenticazione. È quindi possibile stampare i codici di backup.

Snapchat

Apri l'app, scorri verso il basso per accedere al tuo account, tocca l' icona a forma di ingranaggio per aprire Impostazioni, quindi tocca Verifica accesso. È possibile iscriversi per ricevere il codice tramite SMS o un'app di autenticazione e creare codici di ripristino. Per ulteriori informazioni, consultare questa pagina di supporto Snapchat.

cinguettio

Dall'app Twitter, tocca l'icona del profilo, quindi tocca l' icona a forma di ingranaggio e tocca Impostazioni . Vai su Account> Sicurezza e attiva la verifica di accesso . Riceverai i codici via SMS. È quindi possibile richiedere un codice di backup, che è possibile screenshot per tenere a portata di mano. Per ulteriori informazioni, consultare questa pagina di supporto di Twitter.

Yahoo

Nel tuo account Yahoo, vai alla sicurezza dell'account e attiva la verifica di T wo-step . Se hai attivato la chiave account di Yahoo, dovrai disabilitarlo. La chiave dell'account sembra e odora di autenticazione a due fattori, ma in realtà è solo un fattore; ti consente di saltare il primo fattore di inserimento della password e di inserire solo un codice inviato al tuo telefono. La verifica in due passaggi di Yahoo è l'opzione più sicura dei due. Puoi anche creare password specifiche per app per tutte le app che non supportano 2FZ e utilizzare il tuo account Yahoo.

Se si utilizzano altri siti Web e servizi, consultare il sito completo di Autori a due fattori per elenchi di siti, servizi e app suddivisi in categorie per verificare quale supporto 2FA e quelli che non lo supportano. Le categorie includono banking, cloud computing, comunicazione, email, salute, social e molti altri.

Messaggi Popolari

Come installare Android Pie in questo momento

Come creare audiolibri in iTunes

Come stampare (quasi) qualsiasi cosa in iOS 8

8 suggerimenti per l'utilizzo della fotocamera di Google Pixel

Come bloccare o ignorare qualcuno su Google+

Come aggiornare il Launchpad in OS X

 

Lascia Il Tuo Commento