Ti ho già spiegato in un post precedente come le password siano diventate un aspetto importantissimo della nostra vita digitale. Ti ho raccontato come costruire una password efficace e come utilizzare Bitwarden per memorizzarle senza perderci la testa. Dovremmo aver risolto il problema password per sempre, vero? Vero! Mi dispiace deluderti, ma c’è ancora un altro passo da fare: abilitare l’autenticazione a due fattori.
Cos’è l’autenticazione a due fattori
Quando eseguiamo il log-in su un sito web ci stiamo autenticando sul quel sito, ovvero il sito cerca di capire se siamo realmente chi diciamo di essere. Nella quasi totalità dei casi il riconoscimento avviene mediante l’utilizzo di un username e di una password. Come abbiamo visto le password sono insicure e alcuni nostri comportamenti1 le rendono ancora meno sicure. Per cercare di risolvere questo problema si è pensato di riconoscere gli utenti non solo mediante la conoscenza di una password, ma anche attraverso un’ulteriore fattore.
Questo secondo fattore di riconoscimento può avere nature diverse. Sicuramente ti è capitato di utilizzare un 2FA per accedere alla tua web bank. In questo caso dopo aver effettuato l’accesso mediante username e password ti viene richiesto di confermare l’accesso mediante un codice generato da un token o ricevuto tramite messaggio. Ultimamente un’altra strada molto diffusa prevede di confermare l’accesso attraverso un altro dispositivo come uno smartphone. In tutti questi casi stai utilizzando l’autenticazione a due fattori o 2FA (dall’inglese Two Factor Authentication).
A questo punto ti dovrebbe essere chiaro che non esiste un unico modo di implementare la 2FA, ma sono disponibili diverse soluzioni. Una di quelle più diffuse prevede l’utilizzo di un codice temporaneo detto OTP (one time password). Molti servizi consentono all’utente di generare in maniera autonoma il codice attraverso delle applicazioni apposite. In altri casi è necessario utilizzare delle applicazioni proprietarie (una gran bella rottura), ricevere il codice tramite SMS (sicuramente la soluzione meno sicura) o attraverso hardware apposito (probabilmente la soluzione migliore dal punto di vista della sicurezza, ma che prevede un costo per l’acquisto dell’hardware).
Applicazione consigliate
Sugli store digitali ci sono sicuramente diverse applicazioni che consentono di generare i codici OTP. Tra le più famose, e spesso consigliate in fase di attivazione della 2FA, ci sono:
- Authenticator di Google (Android, iOS)
- Authenticator di Microsoft
- Authy
Alcune di queste app sono più problematiche di altre, ma tutte condividono un problema bello grosso; sono closed source. Poiché per entrambi i sistemi operativi mobili ci sono delle alternative valide e libere non vedo ragione per non usarle, quindi di seguito ti becchi i miei suggerimenti.
- Android: Aegis Authenticator o in alternativa andOTP
- iOS: Ravio OTP
Non ti piacciono i miei suggerimenti, non fa niente, usa pure uno delle app citate precedentemente l’importante è utilizzare l’autenticazione a due fattori.
Come abilitare l’autenticazione a due fattori
Naturalmente non esiste un procedimento universale che si può applicare a tutti i siti esistenti, ma di solito i passaggi da seguire sono sempre gli stessi. La prima cosa che devi fare è individuare la pagina attraverso la quale puoi attivare l’autenticazione a due fattori. Generalmente questa configurazione può essere abilitata nella sezione dedicata alla sicurezza dell’account. Nel caso di problemi di solito una ricerca del tipo “nome-sito 2FA” dovrebbe risolvere ogni dubbio.
Una volta avviato la procedura di configurazione ti verrà mostrato un QR Code con le informazioni necessarie a generare i codici temporanei. Puoi scansionare questo codice attraverso l’app per il 2FA che hai scaricato precedentemente. Questa procedura recupererà in automatico tutti i campi richiesti. Generalmente puoi anche modificare questi campi, ma se non sai cosa stai facendo meglio non toccare niente, fatta eccezione per l’icona associata al servizio. Bene, a questo punto la tua applicazione è in grado di generare gli OTP.
Per confermare l’attivazione della 2FA devi tornare sul sito web e inserire il codice generato dall’app nell’apposito campo. Ricorda, i codici hanno una durata breve (generalmente 30 secondi), quindi nel caso di problemi assicurati di star inserendo un codice valido. Se il problema persiste ripeti il procedimento. Bene hai finito, ora quando eseguirai nuovamente il login sul sito oltre ad username e password ti verrà richiesto anche il codice temporaneo generato tramite app.
L’importanza dei backup
Se hai seguito attentamente questa guida ora dovrebbe riecheggiare nella tua testa una domanda: “E se non ho il telefono con me, se dovessi perderlo, come faccio ad accedere?” La risposta è semplice, non puoi più accedere2. Lo so, lo so, non ti piace per niente questa risposta, ma tranquillo una soluzione esiste e si chiama backup.
I backup possono essere eseguiti a due diversi livelli:
- al livello del servizio web
- a livello di applicazione per la 2FA
Nel primo caso sono stesso i servizi web su cui hai abilitato la 2FA a fornirti dei codici di backup. Ogni codice può essere utilizzato una sola volta e permette di eseguire l’accesso senza dover usare il codice OTP generato dall’applicazione. Per generare i codici di backup generalmente non devi svolgere azioni specifiche in quanto questi vengono generati contestualmente all’attivazione dell’autenticazione a due fattori. L’unico tuo compito e quello di copiare questi codici su un pezzo di carta e conservarli in un luogo sicuro.
Nel secondo caso devi essere tu stesso a preoccuparti di eseguire il backup dei dati dell’applicazione per la generazione degli OTP. Avendo un backup dei dati dell’app puoi riconfigurarla su un altro dispositivo senza incorrere nella perdita di dati. Tutte le app che ti ho consigliato hanno una procedura guidata per la generazione dei backup e quindi ti semplificano la vita. Anche in questo caso è importante conservare i backup in un luogo sicuro.
Quale delle due soluzioni scegliere? Beh, la scelta migliore è non scegliere e usare entrambe le soluzioni in modo da avere un doppio backup e ridurre ulteriormente i rischi di rimanere chiusi fuori.
Si sto parlando proprio con te che usi una sola password per tutti i tuoi servizi. ↩︎
Contattando l’assistenza di alcuni servizi web è possibile chiedere la disattivazione dell’autenticazione a due fattori per il proprio account. Questo meccanismo in caso di emergenza può essere manna dal cielo, ma di base va a ridurre l’efficacia della 2FA. ↩︎