In questo articolo parliamo di autenticazione a due fattori (indicata anche con 2FA, acronimo di two factor authentication), mettendo a confronto i metodi più usati, così da capire qual è il metodo più sicuro da usare.
Di SCA Strong Customer Authentication abbiamo già parlato in questo nostro articolo. Anche se si tratta di un concetto ancora confinato tra gli addetti ai lavori, la Strong Customer Authentication è sempre più presente in molte delle azioni che compiamo quotidianamente.
I contesti in cui ricorriamo all’autenticazione forte vanno dall’home banking ai servizi di posta elettronica. È di fondamentale importanza anche in ambito lavorativo, perché sempre più spesso i dipendenti devono accedere ai sistemi aziendali in piena sicurezza.
Perché si usa la Strong Customer Authentication
La Strong Customer Authentication (o autenticazione forte del cliente) oggi è diventata necessaria perché i classici metodi di autenticazione basati sull’uso di username e password non bastano più e possono essere facilmente compromessi da malintenzionati.
Mentre in passato la password poteva essere sufficiente a garantire un certo livello di sicurezza, oggi non è più così. I motivi principali sono l’ampliamento delle superfici d’attacco e l’evoluzione degli attacchi, diventati più efficaci e quindi più pericolosi.
Tipicamente, il furto delle nostre credenziali di accesso avviene con attacchi phishing o attacchi brute-force, attraverso l’uso di malware o l’hacking delle credenziali del database.
Confronto tra metodi di autenticazione a due fattori più usati
Sono due i metodi più comuni usati per l’autenticazione a due fattori:
- OTP (One Time Password). È un metodo di autenticazione simmetrica, dove una stessa password usa e getta usabile solo una volta è generata contemporaneamente sia sul server del servizio online presso il quale ci dobbiamo autenticare sia sul nostro dispositivo hardware o software (pc desktop, smartphone, token). Se l’OTP generato sul token corrisponde a quello sul server, quando lo inseriamo nell’apposito campo indicato dal gestore del servizio fa sì che l’autenticazione avvenga con successo.
- Autenticazione PKI. In questo caso, invece, abbiamo un metodo di autenticazione asimmetrica che si basa su una coppia di chiavi crittografiche diverse, una chiave privata e una chiave pubblica, collegate in maniera univoca tra loro. La chiave privata è custodita in modo sicuro su token USB o smart card certificati, mentre la chiave pubblica è accessibile a tutti coloro che hanno bisogno di scambiare informazioni con l’entità proprietaria della chiave privata. Qualsiasi messaggio crittografato con una chiave privata potrà essere decifrato solo usando la chiave pubblica corrispondente.
Qual è il metodo di autenticazione migliore
Non esiste un metodo di autenticazione che in assoluto è migliore di un altro. Un giudizio in tal senso dipende molto dal criterio usato per valutare un metodo rispetto a un altro.
› Livello di sicurezza. Se per la maggior parte delle imprese private l’OTP garantisce una sufficiente protezione, per settori che richiedono un livello di sicurezza più elevato (come la pubblica amministrazione o le aziende sanitarie) l’autenticazione a chiave pubblica (PKI) certificata è da preferire.
› Costi. Tipicamente l’autenticazione OTP ha costi più accessibili, oltre ad essere più veloce da implementare. L’implementazione di un’infrastruttura PKI, invece, richiede per ogni utente l’acquisto di un certificato da una Certification Authority (CA). Inoltre, l’OTP può essere installato su dispositivi mobili o desktop e utilizzato come token. L’autenticazione a chiave pubblica richiede invece un dispositivo ad hoc (token usb o smart card) per ciascuna chiave privata.
› Usabilità. Le organizzazioni che richiedono una forte mobilità dei propri dipendenti potrebbero aver bisogno di metodi di autenticazione più usabili. In tal caso, i software e i token basati su mobile, o anche soluzione tokenless, facilitano l’implementazione di soluzioni sicure anche in mobilità.
In conclusione, possiamo affermare che, in un’epoca in cui i dati e le informazioni sono sempre più una ricchezza per tutti e in maggior misura per le aziende e le organizzazioni, migliorare la sicurezza dei propri sistemi informatici o anche solo proteggere la propria identità online con l’autenticazione forte, diventa fondamentale come custodire le chiavi di casa o della cassaforte.
