L’ autenticazione a più fattori è un metodo di autenticazione che si basa sull’ utilizzo congiunto di due metodi di riconoscimento. Sul web il metodo di autenticazione più diffuso è dato dal mix corretto tra username e password. Quest’ultima però fornisce una sicurezza molto limitata, poiché può essere scoperta, dimenticata, condivisa, dedotta, smarrita. Molto spesso si hanno difficoltà nel memorizzare password lunghe e complesse, per cui si tende a inserire password con complessità più bassa, e che appartengono alla vita quotidiana di chi la inserisce (Nome, Cognome, Nome del cane, ecc).

 

L’autenticazione a più fattori quindi verifica l’identità di un individuo mediante due o più elementi di identificazione:

  • Qualcosa che si conosce;
  • Qualcosa che si possiede;
  • Qualcosa che si è.

autenticazione

La tradizionale autenticazione ( per intenderci: il login con l’inserimento di username e password) si affida solo a qualcosa che si conosce, ossia la password. L’autenticazione a più fattori va oltre; infatti viene generato un codice ed inviato via SMS al vostro cellulare, ma non solo… Il bancomat è un esempio di autenticazione a due fattori, poiché il tesserino rappresenta “una cosa che si possiede” e il PIN rappresenta “una cosa che si conosce”.

Ma analizziamo più nel dettagli i tre elementi dell’autenticazione a più fattori.

Qualcosa che si conosce: Immediatamente viene da pensare alle password, ma ci sono altri fattori di conoscenza molto comuni. Quando si tratta di password, la lunghezza incide moltissimo, quindi si dovrebbero usare password lunghe e complesse.

Qualcosa che si possiede:  Molto spesso un token installato su un dispositivo mobile che si possiede. Esistono due tipologie di token mobile:

  • Token online, che offrono spesso la possibilità di prendere parte ad un challenge/response dal server, digitando la risposta includendo la firma crittografata della transazione. Si immagini una smartcard, invece di inviare un numero statico come una tradizionale carta di credito, il chip impostato dietro la carta è in grado di firmare in maniera crittografata una transizione.
  • Token offline, che non hanno necessità di una connessione diretta con i richiedente l’autenticazione, comunicando solitamente mediante una chiave segreta condivisa.

Qualcosa che si è. Qualcosa di una persona che possa essere catturato attraverso il riconoscimento facciale, impronta digitali, stampa dell’iride o il disegno della retina.

Pro e Contro

Tra i vantaggi di questo processo di autenticazione troviamo il fatto che i token ed i codici inviati per SMS non fanno perdere tanto tempo, ma aggiungono quella sicurezza, che pur non essendo del 100%, garantisce una adeguata tranquillità.

Ma attenzione a non prenderci troppa comodità, poiché se il login viene fatto tramite cellulare, il codice  sconsigliato farlo arrivare nello stesso dispositivo del login, poiché potrebbe essere intercettato facilmente, incorrendo in grossi guai. Inoltre la maggior parte delle soluzioni a due fattori sono vulnerabili agli attacchi di tipo man-in-the-middle o man-in-the-browser. Tuttavia, anche prevedendo lo scenario peggiore, la possibilità di essere vulnerabili è limitata a una singola operazione.