Sempre più banche, società di carte di credito e persino reti di social media e siti di gioco stanno iniziando a utilizzare l'autenticazione a due fattori. Se non sei ancora chiaro su cosa sia o sul motivo per cui vorresti iniziare a usarlo, continua a leggere per scoprire come l'autenticazione a due fattori può proteggere i tuoi dati.
Che cos'è esattamente l'autenticazione a due fattori?
Il lettore How-To Geek Jordan scrive con una domanda semplice:
Sto ascoltando sempre di più sull'autenticazione a due fattori. Ricordo vagamente che Google ha fatto un grosso problema a riguardo l'anno scorso, la mia banca ha recentemente offerto un anello portachiavi gratuito per i clienti stimati e il mio compagno di stanza ha anche una sorta di app sul suo telefono per impedire che il suo account Diablo III venga violato. Capisco che è una sorta di strumento di sicurezza ma che cos'è esattamente e dovrei usarlo?
Per capire cos'è l'autenticazione a due fattori, diamo prima un'occhiata all'autenticazione a un fattore e confrontiamola con i modelli di sicurezza sia reali che virtuali.
Quando torni a casa dal lavoro, estrai le chiavi e sblocchi la porta sul retro, ti stai impegnando in una semplice autenticazione a un fattore. Alla porta e al gruppo della serratura non importa se la persona che detiene la chiave sei tu, il tuo vicino o un criminale che ha ritirato le tue chiavi. L'unica cosa che interessa alla serratura è che la chiave si adatta (non hai bisogno di due chiavi, una chiave e un'impronta digitale, o qualsiasi altra combinazione di controlli). La chiave fisica è la singola conferma che la persona che la brandisce è autorizzata ad aprire la porta.
Lo stesso livello di autenticazione a un fattore si verifica quando si accede a un sito Web o servizio che richiede semplicemente il login e la password. Colleghi tali informazioni ed esiste come unico controllo che tu sia, in effetti, tu.
Supponendo che nessuno rubi mai le tue chiavi o crepe / ruba la tua password, sei in buona forma. Mentre le tue chiavi rubate sono un rischio abbastanza basso, la sicurezza virtuale è più complessa (e diversamente dalle violazioni della sicurezza online. Il tuo gestore del complesso di appartamenti, ad esempio, non copierebbe mai tutte le chiavi accidentalmente e le lascerebbe con il tuo nome e indirizzo all'angolo di una strada ).
Violazioni della sicurezza, attacchi sofisticati e altri aspetti sfortunati ma fin troppo reali di lavorare e giocare in uno spazio virtuale richiedono pratiche di sicurezza migliorate, tra cui password complesse multiple e diverse e, se disponibile, autenticazione a due fattori.
Che cos'è l'autenticazione a due fattori e che aspetto ha per te, l'utente finale? L'autenticazione a due fattori minima richiede due delle tre variabili di autenticazione approvate dalle normative come:
- Qualcosa che conosci (come il PIN sulla tua carta di credito o la password dell'email).
- Qualcosa che hai (la carta di credito fisica o un token di autenticazione).
- Qualcosa che sei (biometria come l'impronta digitale o il motivo dell'iride).
Se hai mai usato una carta di debito, hai utilizzato una semplice forma di autenticazione a due fattori: non è sufficiente conoscere il PIN o avere fisicamente la carta, devi possederli entrambi per accedere al tuo conto bancario tramite il bancomat.
L'autenticazione a due fattori può assumere una varietà di forme e soddisfare ancora il requisito 2 di 3. Può esserci un token fisico, come quelli ampiamente utilizzati nel settore bancario, in cui viene generato un codice over-the-air per te. Per accedere è necessario il nome utente, la password e il codice univoco (che è scaduto ogni 30 secondi circa). Altre società saltano il percorso hardware personalizzato e forniscono app per telefoni cellulari (o codici di consegna SMS) che offrono la stessa funzionalità. Sebbene non sia particolarmente comune, potresti anche utilizzare l'autenticazione a due fattori basata sulla biometria (come la sicurezza di un file crittografato tramite password e impronta digitale).
Perché dovrei usarlo e dove posso trovarlo?
Ogni volta che introduci un livello aggiuntivo nella tua routine di sicurezza, devi sempre chiederti se la seccatura è meritata. L'autenticazione a più fattori per un forum di discussione su muscle car che non contiene informazioni personali e che non è in alcun modo collegata alla tua vera e-mail o informazioni finanziarie è ovviamente eccessiva. Avere un secondo livello di autenticazione per la tua carta di credito o il tuo account di posta elettronica principale, tuttavia, è solo pratico: il trauma personale e finanziario che risulterebbe da un ladro di identità o da un'altra entità maligna che ha accesso a quelle cose supera di gran lunga la seccatura minore di introdurre un informazioni extra.
Ogni volta che l'autenticazione a due fattori è disponibile per un sistema e quel sistema compromesso causerebbe sofferenza significativa, è necessario abilitarlo. La compromissione della tua e-mail ti apre ad altri servizi che vengono compromessi come server e-mail come una sorta di chiave principale per l'accesso a reimpostazioni di password e altre richieste. Se la tua banca fornisce un autenticatore mobile o un altro strumento, approfittane. Anche per cose come l'account Diablo III dei tuoi coinquilini: i giocatori trascorrono centinaia di ore a costruire i loro personaggi e spesso spendono soldi veri per acquistare beni di gioco, perdere tutto quel lavoro e le attrezzature è una proposta terribile, schiaffeggia un autenticatore sul tuo conto!
Purtroppo, non tutti i servizi offrono autenticazione a due fattori. Il modo migliore per scoprirlo è scavare nelle FAQ / file di supporto e / o contattare lo staff di supporto per il servizio in questione. Detto questo, molte aziende hanno parlato della loro adozione di schemi di autenticazione a più fattori.
Google ha un'autenticazione a due fattori sia per SMS che con una pratica app mobile: leggi qui la nostra guida per l'installazione e la configurazione dell'app mobile.
LastPass offre molteplici forme di autenticazione a più fattori, incluso l'utilizzo di Google Authenticator. Abbiamo una guida per configurarlo qui.
Facebook ha un sistema a due fattori chiamato “approvazioni di accesso” che utilizza SMS per confermare la tua identità.
SpiderOak, un servizio di archiviazione come Dropbox, offre un'autenticazione a due fattori.
Blizzard, la compagnia dietro giochi come World of War Craft e Diablo, ha un autenticatore gratuito.
Anche se sembra che, in base alla lettura del file FAQ dell'azienda in questione, non dispongono dell'autenticazione a due fattori, invia loro un'email e chiedi. Più persone chiedono informazioni sui due fattori, maggiori sono le possibilità che l'azienda lo implementerà.
Mentre l'autenticazione a due fattori non è invulnerabile agli attacchi (un sofisticato attacco man-in-the-middle o qualcuno che ruba il tuo token di autenticazione secondario e ti batte con una pipa potrebbe romperlo), è radicalmente più sicuro che fare affidamento su una password normale e semplicemente avere un sistema a due fattori abilitato ti rende un obiettivo molto meno convincente.
Conosci un servizio, grande o piccolo, che offre un'autenticazione a due fattori? Disattiva nei commenti per avvisare i tuoi colleghi lettori.