Cos’è l’autenticazione a due fattori e come si usa

Nonostante gli sforzi fatti da chi eroga servizi online, la passione per le password non è mai definitivamente sbocciata. Un rapporto conflittuale che non conosce geografia perché è esteso a tutto il mondo e non si placa neppure a fronte del crescente numero di truffe online.

L’autenticazione a due fattori non è una panacea, ma riduce i rischi quel tanto che basta. Gli hacker, a meno che non abbiano un motivo per violare gli account di una persona specifica, quando sono confrontati con troppe difficoltà cambiano preda. Conoscono fin troppo bene il rapporto costi-benefici.

L’autenticazione a due fattori

L’autenticazione a un account con un fattore soltanto (la password, tipicamente) è debole. Per questo motivo è stato introdotto il secondo fattore. Molti di noi lo usano già per accedere al proprio conto corrente online, operazione che si conclude dopo avere inserito un nome utente e una password (fattore singolo) e dopo avere digitato una sequenza di numeri che abbiamo ricevuto sullo smartphone o mediante un generatore di codici (secondo fattore).

Questa doppia politica di protezione è molto diffusa tra i sistemi bancari online ma è caldeggiata da molti servizi digitali, tanto per citare i più famosi, Gmail, Facebook, Microsoft, Apple, Instagram e via dicendo.

La logica è semplice: inserendo nome utente e password sosteniamo di essere noi, con l’autentificazione a due fattori dimostriamo di esserlo davvero. Si uniscono due dei tre elementi che caratterizzano le password, ossia “qualcosa che sai” (nome utente e password) e “qualcosa che hai” (il generatore di codici numerici che seve alla doppi autenticazione). Il terzo elemento è “qualcosa che sei”, riservato a quei sistemi di accesso che esigono un’impronta digitale, il volto, la lettura dell'iride, la voce, eccetera.

Come attivare l’autenticazione a due fattori

Ogni fornitore di servizi ha una propria metodologia che, pure essendo diversa nella forma in cui la si applica, è uguale nei risultati. Google spiega come attivare la doppia autenticazione a chi accede via computer, da dispositivo mobile Android o da dispositivo con a bordo iOS.

Microsoft fornisce a sua volta una semplice procedura, così come fa Apple per ognuno dei dispositivi che produce. Facebook ha un sistema di autenticazione a due fattori semplice da mettere in pratica così come quello di Instagram e di Twitter.

Non sono da meno neppure le app per la messaggistica istantanea come WhtasApp che spiega in modo chiaro come fare o Telegram che, però, non fornisce una guida online ma il cui funzionamento è semplice: dal proprio profilo utente si sceglie la voce “Privacy e sicurezza” fino ad attivare la voce “Autenticazione a due fattori” proteggendola con un Pin affinché non venga disattivata da chi non è ha il diritto.

Metodi diversi

Come detto, l’autenticazione a due fattori invia un codice al cellulare di chi sta tentando di accedere a un servizio o, in alternativa, chiede l’inserimento di un codice generato mediante un apposito strumento, quel generatore che di norma ci consegna il nostro istituto bancario per accedere alle piattaforme di banking online.

Si tratta di metodi pratici ma perfettibili. Il nostro smartphone, così come il generatore di codici, possono finire facilmente nelle mani meno indicate, soprattutto tra i membri di un medesimo nucleo famigliare. Subentrano quindi accorgimenti che ovviano a questi problemi.

Esistono delle applicazioni che alzano il livello di sicurezza. Citiamo le più diffuse, ovvero Authy, Google Authenticator per dispositivi Android (qui il link per iOS) e Microsoft Authenticator alle quali vengono inviati i codici relativi alla doppia autenticazione. A queste app si può accedere, se il dispositivo su cui sono installate lo rende possibile, mediante il riconoscimento del viso o dell'impronta digitale. A prescindere da ciò, non mostrano il codice ricevuto per l’autenticazione se non viene digitato il Pin che soltanto il proprietario dello smartphone conosce.

Un'ultima considerazione: se l'eventualità di possedere un'ulteriore applicazione che consenta l'accesso ai nostri servizi online o se, allo stesso modo, l'idea di dovere digitare un Pin in più crea una sorta di repulsione, questa andrebbe almeno idealmente rapportata alle sensazioni che proveremmo scoprendo che qualcuno ha violato un nostro account.