Se non lo avete ancora fatto, non potete aspettare oltre: dovete attivare questa importante opzione di sicurezza, ove possibile, su tutti i vostri account!!
Aggiornamento: account Instagram eliminato!
Che cos'è l'autenticazione a due fattori o 2FA?
Da sempre, per accedere ad un account online erano necessari un nome utente o username e una password. Per rendere sicuro un account così creato si consigliava di utilizzare password lunghe, complesse, contenenti lettere maiuscole e minuscole, numeri e caratteri speciali. Questo metodo di autenticazione con la sola password si è sempre dimostrato tutto sommato piuttosto sicuro e tanto più quanto la password è più complessa e difficile da indovinare ma, in caso di credenziali rubate o sottratte con l'inganno o anche attacchi a forza bruta, non c'è niente che possa impedire la violazione dell'account.
Ecco che da qualche anno a questa parte quasi tutti i fornitori di servizi online hanno attivato un importante opzione di sicurezza: l'autenticazione a due fattori. Ma cos'è di preciso? Semplice: invece di concedere l'accesso a chiunque conosca username e il primo fattore ovvero la password, si richiede un ulteriore dato (o fattore, appunto) che può essere un codice inviato per mail, per SMS o generato al momento da un app secondo un complesso algoritmo (quest'ultimo è chiamata One Time Password o OTP) ma anche una semplice interazione con un app installata sul nostro smartphone personale. Qualcuno potrebbe notare, a ragion veduta, una similitudine con i "token" per l'home banking ormai attivi da diversi anni. Molti di voi (tra i più pigri... ) già staranno storcendo il naso pensando ad una cosa complessa in più, ogni volta che vogliamo, ad esempio, leggere la posta, pensando che dato che la mail non è proprio la stessa cosa dell'home banking, può non valere la pena complicarsi la vita; ma non è così!
Infatti questo sistema di autenticazione, dopo una corretta configurazione iniziale, migliora tantissimo la sicurezza ma non per questo rende più complicato l'accesso ai servizi.
L'autenticazione a due fattori può essere utilizzata ad ogni accesso ma può anche essere sfruttata per validare i dispositivi da cui si è soliti accedere al servizio in oggetto. Mi spiego meglio: se, ad esempio, siete soliti controllare la posta con il vostro browser preferito, attraverso l'interfaccia web del vostro provider mail, la prima volta che accedete al servizio dopo aver abilitato il 2FA, sarete costretti a immettere anche il secondo fattore di autenticazione ma poi potrete scegliere di autenticare il dispositivo in modo che non venga più richiesto alla successiva visita (questa autenticazione avviene tramite cookie, evitate quindi di pulire i dati di navigazione o utilizzare la modalità incognito!).
» Leggi: Creare un collegamento per avviare i principali browser in modalità incognito
Prendendo sempre come esempio la posta elettronica, se invece utilizzate un programma o un app per gestire le vostre mail, ecco che anche in questo caso il 2FA vi offre maggior sicurezza senza troppe complicazioni in più! Una volta attivata l'autenticazione a due fattori avrete la possibilità di creare una password unica per ogni programma che utilizzate per gestire la posta; dovrete solo sostituirla una volta e ve ne potrete dimenticare. Almeno fino a quando (fate tutti gli scongiuri possibili!!) il dispositivo dove avete configurato questa password unica sarà perso o rubato; in questo caso, accedendo al vostro account, avrete la possibilità di revocare la password unica utilizzata sul dispositivo non più in vostro possesso, impedendo la ricezione o l'invio di nuove mail.
Quale "secondo fattore" è consigliabile utilizzare?
Ho accennato in precedenza che esistono vari tipi di secondo fattore ed ognuno va bene per rendere più sicuro il nostro account ma il migliore da utilizzare, se disponibile, è, senza ombra di dubbio, l'OTP. I motivi sono pochi e semplici: è sicuro, ci sono app per ogni dispositivo, una volta configurato il codice è generato istantaneamente, funziona senza necessità di connessione internet o cellulare (a differenza di mail e SMS) e non dovrete comunicare altri dati personali al gestore del servizio (come appunto una mail o il numero di cellulare).
Come si configura l'OTP?
Se il vostro account dispone di questa opzione di sicurezza potrete attivarla, generalmente, dalle impostazioni di sicurezza. Prerequisito fondamentale è aver installato un'apposita app su un vostro dispositivo personale; questa app andrà configurata al momento dell'attivazione di questo metodo di autenticazione e poi genererà autonomamente un codice che sarà valido per 30 secondi, trascorsi i quali il codice valido cambierà. Ci sono molte app di questo tipo, vedremo poi quali sono quelle consigliate, ma tutte funzionano secondo lo stesso algoritmo standardizzato e sono quindi, per così dire, universali; fanno eccezione solo alcuni servizi che richiedono espressamente un'app specifica che, in questo caso, pur funzionando in maniera analoga, non rispettano gli standard.
Per attivare l'OTP, il fornitore del servizio dove avete l'account che volete proteggere, vi comunicherà un codice che potrà essere un QRcode oppure una stringa alfanumerica (che dovrete tenere segreti al pari della vostra password!!); dovrete quindi scansionare il codice QR tramite l'app per gestire l'OTP o inserire manualmente la stringa alfanumerica.
A questo punto andando avanti nella configurazione, vi verrà chiesto di inserire il codice generato dall'app; se questo è quello atteso dal gestore del servizio, la configurazione sarà avvenuta con successo e il nostro account sarà adesso più sicuro.
Alla fine della configurazione vi verranno comunicati dei codici di recupero che saranno essenziali per accedere all'account, qualora dovreste perdere, per qualche motivo, la possibilità di utilizzare l'app per l'OTP appena attivata. Sarà molto importante salvare e conservare (magari stampandoli o salvandoli su una chiavetta dedicata solo a questo scopo) questi codici; vi consiglio di salvare anche il codice QR o la stringa alfanumerica che avete utilizzato in precedenza: in questo modo sarà molto più facile configurare una nuova app OTP anziché recuperare l'accesso all'account con i codici di emergenza!!
Come detto, da adesso in poi per ogni nuovo accesso, dovremo inserire il codice OTP generato dall'app; ma avremo la possibilità di autenticare il dispositivo da cui stiamo accedendo in modo che, al successivo login effettuato sempre dallo stesso dispositivo, non ci venga più richiesto il codice di sicurezza.
A questo punto è consigliabile generare una password dedicata ad ogni app o programma dove utilizziamo questo account. Questo non è un passaggio da fare sempre, dipende dal tipo di account e di servizio che abbiamo protetto con il 2FA ma è fondamentale, ad esempio, per gli account di posta elettronica. In questo caso infatti è comune aver configurato più app o programmi per l'accesso allo stesso account (ad esempio Windows Mail su PC Desktop, Thunderbird sul laptop, K9mail su Android, ... ); niente ci vieta di generare una sola password per tutti i dispositivi ma per sfruttare a pieno le potenzialità del 2FA sarà meglio generare una password unica per ogni programma o app.
Quali app utilizzare?
Abbiamo già detto che, salvo pochissime eccezioni, queste app sono universali e vanno bene per quasi tutti gli account. Dato che generano il secondo fattore di autenticazione per i nostri account dovremo scegliere queste app con un minimo di attenzione. Generalmente si preferisce installare questo tipo di app su smartphone perché è un dispositivo strettamente personale e perché solitamente viene sempre portato al seguito, di conseguenza c'è l'imbarazzo della scelta per le app di questo tipo per questi dispositivi.
Due fra le più famose sono Google Authenticator e Microsoft Authenticator nate per proteggere i rispettivi account offrono la possibilità di collegarsi a questi per facilitare il trasferimento dei codici ad altri dispositivi ma possono essere utilizzate per qualsiasi altro account. Pur valide, non mi sento di consigliare queste app dato la loro pesantezza, la richiesta eccessiva di permessi (inutili per il corretto funzionamento) e la loro natura closed source.
Personalmente ho scelto di adottare app open source, più semplici e che richiedono i permessi minimi necessari per il corretto funzionamento; Aegis Authenticator o AndOTP per Android e Tofu Authenticator per iPhone/iPad o FreeOTP disponibile per entrambe le piattaforme.
Se qualcuno volesse configurare ad esempio un computer per generare i codici OTP, avrà molta meno scelta nelle app da utilizzare. Un metodo interessante per avere una copia di backup ma decisamente poco pratico per l'utilizzo quotidiano, indipendente dal sistema operativo (Windows, Mac e Linux), potrebbe essere quello di installare una macchina virtuale Android e qui configurare Aegis o le altre app poco sopra nominate. Un metodo decisamente più pratico, che funziona anche questo su ognuno dei sistema operativi citati in precedenza è quello di utilizzare una estensione per i più famosi browser (Firefox, Chrome ed Edge): tale metodo non è però consigliato per via della natura di questi programmi che, essendo la porta di accesso ad internet, sono molto esposti ad attacchi; se optate per questo metodo meglio configurare un profilo dedicato a questo scopo.
In alternativa, se l'integrazione nel browser fosse per voi un requisito fondamentale, vi consiglio piuttosto di optare per la versione premium per utilizzo personale (10$ all'anno) del gestore di password, sicuro, opensource e disponibile per ogni sistema operativo (anche mobile), BitWarden già visto qui su Turbolab.
» Leggi: Bitwarden: Il guardiano delle tue password - guida all'uso
Conclusioni
Se non siete ancora convinti della convenienza, per non dire necessità, di attivare questa opzione di sicurezza, proverò a darvi una dimostrazione pratica di quanto sia efficace l'autenticazione a 2 fattori nel proteggere un account: nell'immagine qui sotto trovate username e password di accesso al mio account Instagram...
