Un confronto tra due metodi di autenticazione: qual è il migliore per te?

[ware_item id=33][/ware_item]

Un uomo digita un codice nel suo gadget di autenticazione a due fattori.


L'autenticazione a due fattori rende impossibile agli hacker di violare i tuoi account con la forza bruta e ti protegge anche se gli hacker ottengono la tua password. Può anche aiutarti a bloccare il tuo account se le tue credenziali sono state phishing in passato.

In breve, l'autenticazione a due fattori (2FA) è importante.

Ma quale modello di autenticazione a due fattori dovresti scegliere? Quasi tutti i servizi offrono password monouso tramite messaggio di testo inviato al telefono. Molti forniscono anche password una tantum generate sul tuo dispositivo mobile (utilizzando Google Authenticator, Authy o persino Facebook).

Alcuni servizi ti daranno la possibilità di connettere un dispositivo hardware e ci sono dei compromessi tra le opzioni. Questo blog spiega quali sono queste scelte, cosa devi fare attenzione e cosa è meglio per te.

Perché l'autenticazione a due fattori è superiore?

È difficile, se non impossibile, notare una password incrinata o rubata. Una password rubata o violata consente a un utente malintenzionato di accedere al tuo account per un certo periodo di tempo, inosservato o bloccandoti completamente.

Allo stesso modo, fare affidamento esclusivamente su un dispositivo per accedere può renderti vulnerabile agli hacker, se è stato rubato. Anche se ti accorgerai più rapidamente di essere stato compromesso.

La combinazione di qualcosa che conosci e qualcosa che hai insieme, tuttavia, rende molto meno dannoso se la tua password viene violata o il tuo dispositivo viene rubato. Se perdi il dispositivo, il ladro o il cercatore non è in grado di accedere ai tuoi account senza password. E se la tua password è violata, nessuno può accedere al tuo account senza il dispositivo.

I migliori metodi 2FA

Fattori da considerare nella scelta dell'autenticazione a due fattori

La teoria dell'autenticazione dell'identità di solito definisce tre fattori:

  • Qualcosa che sai
  • Qualcosa che hai
  • Qualcosa che sei

Più comunemente, gli utenti su Internet vengono identificati attraverso qualcosa che conoscono. Questa è generalmente una password, ma potrebbe anche essere una domanda di sicurezza.

I rischi con "qualcosa che conosci" sono quelli che potresti dimenticare o che non sei l'unico a sapere, ad es. perché hai condiviso volontariamente o involontariamente la conoscenza. Potrebbe anche essere possibile per una terza parte acquisire questa conoscenza con altri mezzi, magari guardando i social media per ottenere la risposta alle domande di sicurezza più comuni "Qual è il tuo animale preferito?" O "In quale strada sei cresciuto?"

Un secondo fattore è "qualcosa che hai", che potrebbe essere una chiave di sicurezza o una scheda SIM. Spesso questo secondo fattore viene applicato come ripristino del backup nel caso in cui si dimentichi la password.

Il terzo fattore è "qualcosa che sei". Potrebbe trattarsi dell'impronta digitale o del riconoscimento facciale e vocale e viene raramente utilizzato al di fuori delle strutture militari.

Solo quando due di questi fattori, o molteplici fattori, sono richiesti allo stesso tempo per autenticazione parliamo di autenticazione a due o più fattori.

Metodi comuni di autenticazione a due fattori

1. SMS

sicurezza-privacy-access-1

Cos'hai: Una carta SIM
La forma più comune di autenticazione a due fattori è il telefono cellulare. Quasi tutti hanno un telefono cellulare e lo portano sempre con sé, rendendolo una scelta popolare e conveniente per provider e utenti.

Cosa succede quando lo perdi: Se hai un piano mensile puoi bloccare la tua vecchia SIM e ottenerne una nuova dal tuo provider. C'è il rischio di perdere l'accesso al tuo account quando viaggi se i messaggi di testo non riescono a passare.

Rischi per la sicurezza: Alcuni provider rendono terribilmente banale per qualcun altro ottenere una nuova carta SIM per tuo conto o, peggio ancora, clonare la tua carta SIM. Molti provider consentono anche a un utente malintenzionato di deviare i messaggi di testo su un altro numero, essenzialmente ignorando la protezione.

Gli stati nazionali possono leggere o deviare i messaggi di testo inviati all'utente, consentendo loro di bypassare la sicurezza. Inoltre, esiste il rischio di attacchi man-in-the-middle, se si immette il messaggio di testo nel servizio sbagliato.

Rischi per la privacy: I contratti collegano necessariamente il tuo nome a tutti i servizi per i quali hai utilizzato il telefono per registrarti. Tuttavia, i contratti telefonici prepagati non sostituiranno una scheda SIM persa. In entrambi i casi, la tua compagnia di telefonia mobile potrebbe tracciare dove ti trovi e da chi ricevi i codici.

2. App di autenticazione

sicurezza-privacy-access-2

Cos'hai: Il tuo telefono con un'app installata.
Quando usi un'app di autenticazione (ad es. Google Authenticator o Authy), il servizio con cui hai configurato 2FA comunicherà con te un codice segreto, generalmente sotto forma di un codice QR. Scansiona questo codice con l'app di autenticazione e da allora in poi la tua app genererà codici casuali che cambiano ogni pochi secondi. Avrai bisogno di questo codice ogni volta che accedi a un servizio.

Cosa succede quando lo perdi: Alcuni servizi ti rendono conveniente il backup di questo codice, quindi nel caso in cui elimini accidentalmente l'app di autenticazione, perda o rompa il telefono, puoi semplicemente configurarlo di nuovo. Altri servizi ti incoraggiano a salvare codici di backup univoci che puoi utilizzare nel caso in cui perdessi l'accesso alla tua app di autenticazione.

Naturalmente, ciò solleva la questione di dove salvare i codici di backup. Spesso un pezzo di carta è l'opzione migliore, ma dove è un posto sicuro dove riporlo?

Nota: finché il telefono è alimentato, l'app genererà codici per te. Non è necessario che il telefono disponga di Internet durante la generazione dei codici.

Rischi per la sicurezza: Se qualcuno è in grado di eseguire lo screengrab del codice QR o di intercettare la chiave segreta in un altro modo, potrebbe generare gli stessi codici nella propria app di autenticazione. Come i messaggi di testo, esiste il rischio di attacchi man-in-the-middle se si inserisce il passcode nel sito Web errato.

Rischi per la privacy: Se la tua app di autenticazione richiede di registrarti con il tuo indirizzo e-mail, questo può aiutare un utente malintenzionato a collegare gli account insieme. In generale, un'app di autenticazione presenta pochi rischi per la privacy.

3. Chiavi hardware

sicurezza-privacy-access-3

Cos'hai: Una chiave hardware compatibile con lo standard FIDO U2F.
Questa chiave, che spesso si presenta come una piccola chiavetta USB, contiene un piccolo chip che memorizza in modo sicuro una chiave privata.

Una volta collegato e registrato il dispositivo con un servizio, la chiave pubblica firmerà i messaggi in modo che il servizio sia in grado di verificarli. A differenza dei messaggi di testo o delle app di autenticazione, non vi è alcun rischio di attacchi man-in-the-middle perché è necessaria la chiave hardware fisica per autenticare il servizio.

A differenza dei messaggi di testo o delle app di autenticazione, le chiavi hardware non sono gratuite. Ma poiché lo standard FIDO U2F dominante è uno standard aperto, vi è molta concorrenza tra i vari produttori. I prodotti possono variare tra $ 5 e $ 120 con un portafoglio Bitcoin hardware in bundle.

Cosa succede quando lo perdi: Se te lo puoi permettere, una seconda chiave hardware è una buona idea. Altrimenti, simile alle app di autenticazione, puoi scaricare codici di backup che ti consentiranno di accedere nuovamente al tuo account.

Rischi per la sicurezza: Le chiavi hardware eccellono così tanto nella sicurezza che, se implementate correttamente, possono eliminare completamente gli attacchi di phishing. Per ora, la maggior parte dei servizi che offrono la registrazione della chiave hardware richiedono anche un'app di autenticazione o un numero di telefono in archivio. Sono questi collegamenti deboli che probabilmente diventeranno anche le tue minacce alla sicurezza.

Rischi per la privacy: Acquista il dispositivo con contanti o Bitcoin per certo. In generale, una chiave hardware non comporta alcun rischio per la privacy in quanto creerà una nuova coppia di chiavi per ogni account.

Le chiavi hardware sono le migliori per 2FA, ma non tutte le accettano

Le chiavi hardware vincono dal punto di vista della sicurezza, sono private e non sono interessate da un telefono morente o fuori portata. Tuttavia, solo pochi servizi (Google, Dropbox, Facebook, Github e pochi altri) supportano lo standard finora.

A meno che non ti fidi del tuo gestore telefonico (e pochi fornitori sono affidabili), un'app di autenticazione è l'opzione migliore.

Un confronto tra due metodi di autenticazione: qual è il migliore per te?
admin Author
Sorry! The Author has not filled his profile.