Cos'è l'autenticazione a due fattori (2FA)?
- Glossario IAM
- Cos'è l'autenticazione a due fattori (2FA)?
L'autenticazione a due fattori (2FA) è un processo di sicurezza in cui gli utenti forniscono due diversi fattori di autenticazione per verificarsi. Questo metodo costituisce un ulteriore livello di sicurezza ideato per far sì che chiunque tenti di accedere a un account online sia chi dice di essere. Il primo fattore è in genere una password o un numero di identificazione personale (PIN), mentre il secondo può variare dagli oggetti fisici (come una smart card o un token di sicurezza) alla biometria (come l'impronta digitale o il riconoscimento facciale) o un segnale sulla posizione.
Elementi dell'autenticazione a due fattori
L'autenticazione a due fattori (2FA) in genere comporta la combinazione di due diversi tipi di metodi di autenticazione delle seguenti categorie.
Fattore conoscenza: qualcosa che sai
Potrebbe trattarsi di una password, di un PIN o della risposta a una domanda di sicurezza.
Fattore possesso: qualcosa che hai
Potrebbe essere un token fisico, come una smart card o una chiave di sicurezza USB, oppure un token virtuale generato da un'app di autenticazione sullo smartphone dell'utente. Questi token virtuali sono chiamati password OTP (One-Time Password) o password TOTP (Time-Based One-Time Password).
Fattore biometrico: qualcosa che sei
Informazioni biometriche, quali le impronte digitali, il riconoscimento facciale o la scansione dell'iride.
Fattore posizione: dove ti trovi
La tua posizione geografica. Alcune app e servizi sono accessibili solo agli utenti che si trovano in una posizione geografica specifica. Questo particolare fattore di autenticazione viene spesso utilizzato negli ambienti di sicurezza zero-trust.
Autenticazione a due fattori (2FA) e autenticazione a più fattori (MFA): qual è la differenza?
L'autenticazione a due fattori (2FA) è un processo di sicurezza che combina due diversi fattori di autenticazione. L'autenticazione a più fattori (MFA), invece, utilizza due o più fattori di autenticazione, offrendo un livello di sicurezza più elevato. In poche parole, la 2FA è un tipo di MFA e l'MFA può richiedere più step di autenticazione rispetto alla 2FA per aumentare ulteriormente la sicurezza. Per maggiori informazioni, consulta questo articolo.
Autenticazione a due fattori e verifica in due fasi: qual è la differenza?
L'autenticazione a due fattori (2FA) richiede agli utenti di fornire due tipi distinti di credenziali di autenticazione per verificare la propria identità. Queste credenziali derivano da qualcosa che l'utente conosce (come una password), qualcosa che l'utente possiede (come uno smartphone) o un aspetto intrinseco della biometria dell'utente (come un'impronta digitale). Pertanto, la 2FA richiede l'utilizzo di due livelli di sicurezza completamente separati, per una maggiore sicurezza del processo di autenticazione. Di conseguenza, anche se una delle credenziali viene compromessa, ci sarà la seconda a proteggere l'account.
Al contrario, la verifica in due fasi (nota anche come autenticazione in due fasi) prevede una procedura che richiede agli utenti di completare due fasi distinte per confermare la propria identità. In particolare, queste fasi potrebbero non richiedere diversi tipi di credenziali di autenticazione. Ad esempio, il passaggio iniziale potrebbe comportare l'inserimento di una password, seguito dall'uso di un codice temporaneo inviato al telefono cellulare dell'utente nella fase successiva. La verifica in due fasi si caratterizza dalla richiesta di due azioni separate, che non devono necessariamente coinvolgere diversi tipi di credenziali di autenticazione.
| Funzionalità | Autenticazione a due fattori (A2F) | Verifica in due fasi (2SV) |
|---|---|---|
| Definizione | Richiede due diversi tipi di fattori di autenticazione. | Richiede due fasi di verifica, che potrebbero essere basate sullo stesso tipo di fattori o su tipi diversi. |
| Fattori di autenticazione | Utilizza due diversi fattori: qualcosa che sai (password), qualcosa che hai (token di sicurezza, telefono) o qualcosa che sei (verifica biometrica). | Può utilizzare due istanze dello stesso tipo di fattore (ad esempio, una password seguita da un codice inviato tramite SMS) o tipi diversi. |
| Livello di sicurezza | Generalmente considerata più sicura in quanto richiede due diversi tipi di prove da parte dell'utente, rendendo più difficile l'accesso non autorizzato. | Fornisce un'ulteriore sicurezza tramite una singola password, ma può essere meno sicura della 2FA se entrambe le fasi utilizzano fattori simili. |
Metodi di autenticazione per la 2FA
Vi sono vari metodi per implementare l'autenticazione a due fattori (2FA) ed è possibile selezionare ciascun metodo in base alle esigenze e ai requisiti di sicurezza dell'utente. Di seguito sono riportati alcuni metodi comuni di 2FA.
1. Autenticazione basata su SMS
Nell'autenticazione basata su SMS, quando un utente tenta di accedere, un codice di autenticazione temporaneo viene inviato dal server al telefono cellulare dell'utente. L'utente deve inserire questo codice di autenticazione durante la procedura di accesso. Il vantaggio di questo metodo è che può essere facilmente implementato poiché la maggior parte degli utenti ha un telefono cellulare. Tuttavia, ci sono rischi per la sicurezza, come la possibilità che i messaggi SMS vengano intercettati e il rischio di scambio di carte SIM, quindi questo metodo è consigliato solo se non sono disponibili altre opzioni.
2. App di autenticazione
L'utilizzo di app di autenticazione (ad esempio, alcuni password manager, Google Authenticator, Authy) per la 2FA è più sicuro dell'autenticazione basata su SMS. Con questo metodo, gli utenti generano un codice di autenticazione temporaneo utilizzando un'app di autenticazione sul proprio smartphone. Al momento dell'accesso, è necessario inserire questo codice. Il codice di autenticazione cambia dopo pochi secondi, risultando in una maggiore sicurezza. Inoltre, non richiede una connessione Internet, quindi può essere utilizzato anche offline.
3. Chiavi di sicurezza fisiche
L'utilizzo di chiavi di sicurezza fisiche (ad esempio, YubiKey) consente agli utenti di autenticarsi collegando un dispositivo USB o NFC specifico al proprio computer o smartphone. Questo metodo è considerato molto efficace contro gli attacchi di phishing. Dato il possesso fisico della chiave, il rischio di accessi non autorizzati viene efficacemente ridotto, ma è necessario considerare anche il rischio di perdita della chiave.
4. Autenticazione biometrica
L'autenticazione biometrica utilizza le informazioni biometriche dell'utente, come le impronte digitali, il riconoscimento facciale o il riconoscimento dell'iride, per l'autenticazione. Si tratta di un metodo molto comodo per gli utenti che fornisce un'elevata sicurezza. L'autenticazione biometrica è ampiamente supportata sui dispositivi cellulari e su alcuni degli ultimi computer. Tuttavia, poiché le informazioni biometriche non possono essere modificate, è necessario considerare anche il rischio di fuga di informazioni.
