Skip to content Skip to navigation Skip to footer

Che cos’è l’autenticazione 2fa?

Contattaci

Definizione dell’autenticazione a due fattori o doppia autenticazione

L’autenticazione a due fattori (2FA) è un processo di sicurezza che consente di identificare una persona con un’elevata veridicità. Il processo chiede agli utenti di fornire due diversi fattori di autenticazione prima di poter accedere a un’applicazione o a un sistema, piuttosto che semplicemente il nome utente e la password.

L’autenticazione a due fattori è uno strumento di sicurezza vitale per le organizzazioni, che devono proteggere i loro dati e i loro utenti in un panorama di cybersecurity caratterizzato da un volume sempre crescente di attacchi informatici sempre più sofisticati. Le aziende di tutte le dimensioni devono stare al passo con la sofisticatezza delle aggressioni e sviluppare continuamente le proprie difese per tenere lontani i malintenzionati dalle loro reti e dai loro sistemi.

Per definire l’ autenticazione a due fattori, un buon punto di partenza è ricordare che si tratta di un processo che permette alle organizzazioni di andare oltre l’uso esclusivo delle password per garantire l’accesso ad applicazioni e siti Web. La doppia autenticazione fa esattamente ciò che dice: fornisce un processo di autenticazione in due fasi che aggiunge un ulteriore livello di sicurezza alle difese aziendali. 

Ciò rende più difficile per i criminali informatici il furto dell’identità degli utenti o l’accesso ai loro dispositivi e account. Inoltre, aiuta le organizzazioni a tenere gli aggressori lontani dai loro sistemi, anche quando la password di un utente è stata rubata. Il processo viene sempre più utilizzato per prevenire minacce informatiche comuni, come gli attacchi di phishing, che consentono agli aggressori di falsificare la propria identità dopo aver rubato le password delle loro vittime.

Quali sono i fattori di autenticazione?

Esistono diversi tipi di fattori di autenticazione che possono essere utilizzati per confermare l’identità di una persona. I più comuni includono:

  1. Fattore di conoscenza: si tratta di informazioni che l’utente conosce, che potrebbero includere una password, un numero di identificazione personale (PIN) o un passcode.
  2. Fattore di possesso: si tratta di qualcosa che l’utente ha o possiede, che potrebbe essere la patente di guida, la tessera identificativa, il dispositivo mobile o un’app di autenticazione sul proprio smartphone.
  3. Fattore di inerenza: si tratta di un attributo personale o di una parte del corpo dell’utente, in genere un fattore biometrico. Ciò include la lettura delle impronte digitali, il riconoscimento facciale e vocale, nonché biometria comportamentale come le dinamiche dei tasti e il rilevamento dei pattern di linguaggio.
  4. Fattore di posizione: si tratta della posizione dalla quale un utente tenta di autenticare la propria identità. Le organizzazioni possono limitare i tentativi di autenticazione a determinati dispositivi situati in posizioni specifiche, a seconda di come e dove i dipendenti accedono ai loro sistemi. 
  5. Fattore temporale: questo fattore limita le richieste di autenticazione a orari specifici in cui gli utenti sono autorizzati ad accedere a un servizio. Tutti i tentativi di accesso al di fuori di questo periodo di tempo saranno bloccati o limitati. 

Come funziona la doppia autenticazione?

Il processo di autenticazione a due fattori inizia quando un utente tenta di accedere a un’applicazione, un servizio o un sistema e termina quando viene concessa l’autorizzazione all’uso. Il processo di autenticazione appare come segue:

  • Fase 1: l’utente apre l’applicazione o il sito Web del servizio o del sistema a cui desidera accedere. Gli viene quindi chiesto di accedere utilizzando le proprie credenziali. 
  • Fase 2: l’utente immette le proprie credenziali di accesso, che in genere saranno nome utente e password. L’applicazione o il sito Web conferma i dati e riconosce che sono stati inseriti i dati di autenticazione iniziali corretti. 
  • Fase 3: se l’applicazione o il sito Web non utilizzano credenziali di accesso come la password, l’utente riceve un codice di sicurezza. Il codice verrà elaborato dallo strumento di autenticazione e il server convaliderà la richiesta iniziale.
  • Fase 4: all’utente viene quindi richiesto di inviare un secondo fattore di autenticazione. Questo sarà di solito il fattore di possesso, ovvero qualcosa che solo l’utente possiede. Ad esempio, l’applicazione o il sito Web inviano un codice univoco al dispositivo mobile dell’utente.
  • Fase 5: l’utente inserisce il codice nell’applicazione o nel sito Web e, se il codice viene approvato, l’utente viene autenticato e può accedere al sistema.

Alcuni tipi comuni di autenticazione a due fattori

Esistono diversi tipi di autenticazione a due fattori che possono essere utilizzati per confermare ulteriormente l’identità di un utente. Alcuni degli esempi più semplici includono la risposta alle domande di sicurezza e la fornitura di codici monouso. Altri utilizzano vari tipi di token e applicazioni per smartphone. I tipi comuni di autenticazione doppia includono:

Token hardware per autenticazione a due fattori

I token hardware sono uno dei primi tipi di autenticazione a due fattori. Si tratta in genere di piccoli dispositivi portachiavi che generano un codice numerico univoco ogni 30 secondi. Quando un utente invia la sua prima richiesta di autenticazione, può attivare il token e inserire il codice visualizzato. Altre forme di token hardware includono dispositivi USB (Universal Serial Bus) che, quando inseriti in un computer, trasferiscono automaticamente un codice di autenticazione.

Un esempio è YubiKey, che sta per “chiave onnipresente”, una chiave di sicurezza che consente agli utenti di aggiungere un secondo fattore di autenticazione a servizi come Amazon, Google, Microsoft e Salesforce. Il dispositivo USB viene utilizzato quando gli utenti accedono a un servizio che supporta la one-time password (OTP), ad esempio GitHub, Gmail o WordPress. L’utente inserisce YubiKey nella porta USB, immette la password, fa clic sul campo YubiKey e tocca un pulsante sul dispositivo. Questa operazione genera un OTP di 44 caratteri e lo inserisce automaticamente sul dispositivo dell’utente per verificarlo con un fattore di autenticazione di possesso.

Distribuire dispositivi token hardware ha generalmente un costo elevato per l’organizzazione. Inoltre, questi dispositivi possono essere soggetti a smarrimento o danneggiamento da parte di hacker, il che li rende un’opzione di autenticazione non sicura.

Autenticazione doppia mediante messaggio di testo e SMS

Quando un utente tenta di accedere a un’applicazione o a un servizio, vengono generati fattori di autenticazione tramite SMS e messaggi di testo. Viene inviato un messaggio SMS al dispositivo mobile dell’utente contenente un codice univoco che l’utente deve inserire nell’applicazione o nel servizio. Questo tipo di autenticazione a due fattori è stato utilizzato dalle banche e dai servizi finanziari per verificare gli acquisti o le modifiche effettuati dai clienti sui loro conti bancari online. Tuttavia, questa opzione è sempre meno popolare, data la facilità di intercettazione dei messaggi di testo.

Simile al fattore SMS è la chiamata vocale per l’autenticazione doppia. Quando un utente inserisce le proprie credenziali di accesso, riceverà una chiamata al proprio dispositivo mobile che comunica il codice di autenticazione da inserire. Questo fattore viene utilizzato meno frequentemente, ma viene distribuito dalle organizzazioni situate in Paesi con bassi livelli di utilizzo degli smartphone.

Notifiche push per l’autenticazione a due fattori

Un formato di autenticazione a due fattori senza password più comunemente utilizzato è la notifica push. Anziché ricevere un codice sul proprio dispositivo mobile via SMS o tramite chiamata vocale, formati che possono essere violati, gli utenti possono ricevere una notifica push a un’app sicura sul dispositivo registrato nel sistema di autenticazione. La notifica informa l’utente dell’azione richiesta e lo avvisa che è stato effettuato un tentativo di autenticazione. Quindi, provvede ad approvare o negare semplicemente la richiesta di accesso. 

Questo formato di autenticazione crea una connessione tra l’app o il servizio a cui l’utente sta tentando di accedere, il provider di servizi di autenticazione a due fattori, l’utente stesso e il suo dispositivo. È facile da usare e riduce la possibilità di rischi per la sicurezza come phishing, attacchi man-in-the-middle (MITM), ingegneria sociale e tentativi di accesso non autorizzati.

Questo formato di autenticazione è più sicuro degli SMS o delle chiamate vocali, ma comporta comunque dei rischi. Ad esempio, è facile per un utente confermare accidentalmente una richiesta di autenticazione fraudolenta toccando rapidamente il pulsante di approvazione quando viene visualizzata la notifica push.

Autenticazione a due fattori per dispositivi mobili

Gli smartphone sono un’eccellente soluzione per l’autenticazione a due fattori, poiché consentono alle aziende un’ampia scelta di modalità. Alcuni dispositivi sono in grado di riconoscere le impronte digitali. È possibile utilizzare una fotocamera integrata per il riconoscimento facciale o la scansione dell’iride e il microfono per il riconoscimento vocale. Gli smartphone dotati di un sistema di posizionamento globale (GPS) possono verificare la posizione come fattore aggiuntivo. Le chiamate vocali o gli SMS possono anche essere utilizzati come canale per l’autenticazione fuori banda.

È possibile utilizzare un numero di telefono affidabile per ricevere codici di verifica tramite SMS o chiamate telefoniche automatizzate. Un utente deve verificare almeno un numero di telefono attendibile per iscriversi all’autenticazione a due fattori. Apple iOS, Google Android e Windows 10 dispongono di applicazioni che supportano l’autenticazione a due fattori, consentendo al telefono stesso di fungere da dispositivo fisico per soddisfare il fattore di possesso. 

La piattaforma Duo Security di Ann Arbor, con sede in Michigan, acquistata da Cisco nel 2018 per 2,35 miliardi di dollari, è un fornitore di piattaforme di autenticazione a due fattori il cui prodotto consente ai clienti di utilizzare i propri dispositivi personali per l’autenticazione a due fattori. La piattaforma di Duo verifica innanzitutto che l’utente sia attendibile prima di verificare l’attendibilità del dispositivo mobile per l’autenticazione dell’utente.

Le applicazioni Authenticator sostituiscono la necessità di ottenere un codice di verifica tramite SMS, chiamata vocale o e-mail. Ad esempio, per accedere a un sito Web o a un servizio basato sul Web che supporta Google Authenticator, gli utenti digitano il proprio nome utente e la propria password, ossia il fattore di conoscenza. Viene agli utenti quindi richiesto di immettere un numero a sei cifre. Invece di dover attendere alcuni secondi per ricevere un messaggio di testo, il numero richiesto viene generato automaticamente dall’autenticatore. Questo numero cambia ogni 30 secondi ed è diverso per ogni accesso. Immettendo il numero corretto, gli utenti completano il processo di verifica e dimostrano di avere il dispositivo corretto, confermando il fattore di possesso.

Sistema di autenticazione a più fattori (MFA) e autenticazione a due fattori (2FA) a confronto

L’autenticazione a due fattori è un sottoinsieme del più ampio concetto di autenticazione a più fattori (Multi-Factor Authentication, MFA). L’autenticazione MFA richiede agli utenti più fattori di autenticazione prima di concedere loro l’accesso a un servizio. È un elemento fondamentale di qualsiasi soluzione di gestione delle identità e degli accessi (Identity and access management, IAM), poiché riduce le possibilità di una violazione dei dati o di un attacco informatico fornendo una maggiore certezza circa l’identità dell’utente.

La differenza principale tra 2FA e MFA è che la prima richiede solo un ulteriore fattore di autenticazione. L’autenticazione MFA, invece, può includere l’uso di tutti i fattori di autenticazione richiesti dall’applicazione affinché venga accertata l’identità dell’utente.

Questo perché un aggressore può violare un fattore di autenticazione, come la tessera identificativa o la password di un dipendente. Di conseguenza, le aziende devono aggiungere ulteriori fattori di autenticazione che rendano più difficile l’attività dell’hacker. Ad esempio, gli ambienti ad alta sicurezza spesso richiedono processi MFA più complessi che implicano una combinazione di fattori fisici e di conoscenza, oltre all’autenticazione biometrica. Spesso prendono in considerazione anche fattori come la geolocalizzazione, il dispositivo utilizzato, il momento in cui si accede al servizio e la verifica continua del comportamento.

La chiave di ogni processo di autenticazione è trovare la giusta via di mezzo tra un sistema intuitivo per l’end-user e un sistema sufficientemente sicuro per proteggere i dati e i sistemi aziendali. I dipendenti non vogliono perdere tempo con una soluzione di autenticazione lenta e inaffidabile e inevitabilmente cercheranno di circumnavigare i processi scomodi che impediscono loro di portare a termine il lavoro. 

Il sistema di autenticazione a due fattori è sicuro?

Richiedere più fattori di autenticazione prima di concedere a un utente l’accesso a un’applicazione o a un sito Web è intrinsecamente più sicuro che affidarsi alla sola combinazione di nome utente e password. Pertanto, l’autenticazione a due fattori è più sicura rispetto a un’autenticazione degli utenti con sola password. Analogamente, l’autenticazione MFA può essere considerata ancora più sicura rispetto a quella a due fattori, in quanto consente alle organizzazioni di chiedere agli utenti più fattori di autenticazione.

Tuttavia, il sistema di sicurezza dell’autenticazione a due fattori non è impeccabile. Ad esempio, l’utilizzo di token hardware può rendere vulnerabile un’organizzazione nel caso in cui il produttore del dispositivo subisca un calo della sicurezza. Questo è stato il caso, ad esempio, della società di sicurezza RSA, che nel 2011, in seguito all’hackeraggio di alcuni token di autenticazione SecurID, ha subito una violazione dei dati.

Anche altri fattori di autenticazione non sono impeccabili. Il sistema di autenticazione a due fattori tramite SMS è economico e facile da usare per i dipendenti, ma vulnerabile agli attacchi informatici. Il National Institute of Standards and Technology (NIST) ha sconsigliato l’uso degli SMS per l’autenticazione a due fattori, affermando che il sistema è vulnerabile a vari attacchi di portabilità e problemi di malware.

Ciononostante, la maggior parte degli attacchi informatici proviene da sedi remote, il che rende l’autenticazione a due fattori uno strumento relativamente utile per proteggere le aziende. In genere impedisce agli aggressori di accedere a un’applicazione o a un sistema con credenziali utente e password rubate. È anche improbabile che un aggressore possa accedere al secondo elemento di autenticazione di un utente, in particolare quando si tratta di fattori biometrici.

Soluzione di gestione dell’accesso alle identità e dell’autenticazione a due fattori di Fortinet

Sono sempre di più gli ambienti basati sull’identità che le aziende devono gestire. Essi comprendono più sistemi, tra cui applicazioni cloud, servizi di directory, dispositivi di rete e server. Tutto ciò si traduce in un’attività amministrativa estremamente impegnativa, che finisce per impoverire l’esperienza dell’utente, confondere gli sviluppatori di applicazioni e rappresentare per gli amministratori un incubo logistico. Questo scoraggia le aziende, che molto spesso si rendono suscettibili alla violazioni dei dati attraverso vulnerabilità del codice, livelli di accesso degli utenti inappropriati e aggiornamenti software mal gestiti. 

La soluzione di gestione dell’identità e degli accessi di Fortinet fornisce alle organizzazioni il servizio di cui hanno bisogno per confermare e gestire in modo sicuro le identità degli utenti e dei dispositivi sulle loro reti. Questa solida soluzione consente alle aziende di assumere il controllo dell’identità degli utenti e garantisce che gli utenti abbiano accesso solo ai sistemi e alle risorse di cui hanno bisogno.

La soluzione IAM di Fortinet è formata da tre componenti principali:

  1. FortiAuthenticator: FortiAuthenticator protegge da accessi non autorizzati alle risorse aziendali fornendo servizi di autenticazione centralizzati per il Fortinet Security Fabric, inclusi servizi di Single Sign-On, di gestione dei certificati e di gestione degli utenti guest.
  2. FortiToken: fornisce una conferma aggiuntiva dell’identità dell’utente fornendo un secondo fattore di autenticazione. Questo avviene tramite applicazioni mobili e token fisici.
  3. FortiToken Cloud: fornisce MFA as-a-service ed è dotato di una dashboard intuitiva che consente alle organizzazioni di gestire la propria soluzione MFA.

Questi tre componenti combinati rispondono alle sfide IAM che le organizzazioni devono affrontare dato l’aumento del personale che necessita di accesso ai sistemi da un numero crescente di dispositivi.

Domande frequenti

Che cosa significa 2FA?

2FA è l’acronimo di Two-Factor Authentication (autenticazione a due fattori), un processo di sicurezza che consente alle organizzazioni di aumentare la sicurezza delle applicazioni, dei sistemi e dei siti Web.

Che cosa significa autenticazione a due fattori?

L’autenticazione a due fattori richiede che un utente invii due fattori di autenticazione per dimostrare la propria identità. Viene utilizzata quando un utente accede a un’applicazione o a un sistema, e aggiunge un ulteriore livello di sicurezza rispetto al semplice accesso con nome utente e password, che possono essere facilmente violati o rubati.

L’autenticazione a due fattori può essere violata?

I processi di autenticazione a due fattori possono essere violati. Gli strumenti di autenticazione a due fattori come i token hardware possono essere compromessi e i messaggi SMS possono essere intercettati da persone malintenzionate. Tuttavia, l’autenticazione a due fattori è un processo di accesso più sicuro rispetto a quelli basati solo su password.

Che cos’è il sistema di autenticazione a più fattori?

Il sistema di autenticazione a più fattori è un processo di sicurezza che consente l’uso di più fattori di autenticazione per confermare l’identità di un utente. L’MFA consiste nell’uso di più di un fattore di autenticazione per consentire a un utente di accedere al proprio account.