Uno dei sistemi attualmente più utilizzati per proteggere i propri (numerosi) account è l’autenticazione a due fattori (2FA).
Si stima che ogni utente ha in media circa un centinaio di password: impossibile ricordarle tutte, specie se si considera che una delle principali regole di prudenza da seguire raccomanda di non usare mai la stessa password per più di un account. Ecco perché sono di grande aiuto i password manager, applicazioni dedicate alla conservazione di tutte le password.
Un’autenticazione basata solo su una password (per di più, spesso, non robusta) è però intrinsecamente debole, dal momento che la sicurezza dell’account dipende da un solo fattore.
L’autenticazione a due fattori aggiunge un passaggio: per accedere a un sistema digitale, dunque, dovremo dapprima presentarci tramite il nostro username e dimostrare chi siamo, inserendo la password (primo fattore): la cosiddetta fase di autenticazione. Successivamente, dovrà essere inserito un secondo fattore (one time password, OTP) che, nella maggior parte dei casi è un codice numerico che può essere generato attraverso lo smartphone o un token fisico.
L’OTP generato e inviato tramite un SMS (o una e-mail o ancora una telefonata) è lo strumento maggiormente diffuso, ma è considerato poco sicuro a causa della vulnerabilità del protocollo utilizzato (SS7 – Signalling System No 7).
È preferibile, dunque, evitare di scegliere l’opzione SMS ed utilizzare piuttosto applicazioni dedicate definite “Soft token” (ad es. Google Authenticator), i quali generano una OTP a 6 cifre, associato ad uno specifico account.
La nuova frontiera è data dalle c.d. passkey, ovvero entità crittografiche che non sono visibili agli utenti e che vengono utilizzate al posto delle password. Una passkey è composta da una coppia di chiavi, che migliora radicalmente la sicurezza rispetto a quella offerta da una password. Una chiave è pubblica, registrata nel sito web o nell’app che si sta utilizzando; l’altra è privata ed è presente soltanto sul dispositivo dell’utente. Grazie all’applicazione di tecniche crittografiche basate sugli standard di settore, la coppia di chiavi consente all’utente di stabilire una relazione solida e privata tra i suoi dispositivi e i siti web e le app che utilizza (fonte: Apple.com). Superando al contempo il noioso problema di creazione, salvataggio e memorizzazione della password.
