Cosa sono l’autenticazione a due fattori e la Strong Customer Authentication
Cosa sono l’autenticazione a due fattori (2FA) e la Strong Customer Authentication (SCA)
Per alcuni sono stressanti, richiedono un grado di attenzione a volte notevole per essere eseguite (e meno male, visto che siamo sempre più distratti!), spesso le malediciamo, eppure la vasta offerta (oramai pre-requisito per accedere a qualsivoglia servizio online o autorizzare l’esecuzione di qualcosa) dei servizi di autenticazione rafforzata ci protegge ogni giorno di più dai pericoli del web. I più utilizzati sono due: l’autenticazione e due fattori e la cosiddetta strong authentication. E sì, sorpresa: non sono la stessa cosa. Sono due metodi diversi. Eppure anche molti addetti ai lavori tendono ad assimilarli.
Cos’è l’autenticazione a due fattori (2FA)
L'autenticazione a due fattori (2FA), o “2 Factors Authentication”, è un metodo di identificazione di sicurezza che richiede ad un utente di fornire due diverse prove della sua identità prima di accedere ad un account o ad un servizio online. In genere, queste “prove” consistono in qualcosa che l'utente sa (come la classica password) e qualcosa che l'utente possiede (ad esempio uno smartphone) e utilizza per ricevere un codice di accesso temporaneo (noto come token) necessario per completare l'accesso.
L'autenticazione a due fattori è diventata una pratica comune per proteggere gli account online, in particolare quelli che contengono informazioni sensibili o che hanno accesso a risorse finanziarie, come il proprio conto bancario online.
Come funziona l’autenticazione a due fattori
Quando si configura l'autenticazione a due fattori per la prima volta, si deve associare il proprio account online ad uno smartphone o ad un altro dispositivo in grado di ricevere messaggi di testo o codici di accesso. Successivamente, ogni volta che si accederà all'account, si dovrà fornire la propria password come prima prova di identità. E fin qui siamo sempre stati abituati (magari scegliendo password troppo deboli…!). A questo punto, però, la sicurezza aumenta, perché subentra un secondo livello: dopo aver verificato che la password sia corretta viene inviato un messaggio di testo o un codice di accesso (il cosiddetto “OTP”, ovvero “One Time Password” - in italiano "password (valida) una sola volta", ovvero solo per una singola sessione di accesso o una transazione) al dispositivo associato all’account, che l'utente deve inserire come seconda prova di identità per completare l'accesso.
In alcuni casi, il codice di accesso può essere generato da un'app dedicata, come Google Authenticator o Authy, che possono essere scaricate sullo smartphone. In questo caso, non è necessario attendere l'arrivo di un messaggio di testo per ottenere il codice di accesso. L'autenticazione a due fattori è importante perché aggiunge un ulteriore livello di sicurezza all'accesso a un account online. Anche se qualcuno conoscesse la password dell'utente, non sarebbe in grado di accedere all'account senza il codice di accesso inviato al dispositivo associato. E limitando così drasticamente l’eventuale successo di tentativi di phishing o dei cosiddetti “brute force”, ovvero l'individuazione di una password provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri. Operazione, quest’ultima, che al giorno d’oggi è ancora molto diffusa (poiché, inutile dirlo, troppo spesso si utilizzano combinazioni di password poco efficaci).
Cos’è la Strong Customer Authentication
La Strong Customer Authentication (letteralmente, “autenticazione forte del cliente”), è un metodo di verifica dell'identità di un utente che richiede l'utilizzo di più fattori di autenticazione al momento dell'accesso a un account o a un servizio online.
A differenza dell'autenticazione a due fattori, che utilizza due fattori di autenticazione (qualcosa che l'utente sa e qualcosa che l'utente possiede), la Strong Customer Authentication può utilizzare tre o più fattori di autenticazione.
I fattori di autenticazione comunemente utilizzati in una SCA sono:
- Qualcosa che l'utente sa: questo può includere una password o una domanda di sicurezza;
- Qualcosa che l'utente possiede: questo può includere uno smartphone o una chiave di accesso fisica, come una chiavetta USB o un token;
- Qualcosa che l'utente è: questo può includere un riconoscimento biometrico, come l'impronta digitale o il riconoscimento facciale.
La Strong Customer Authentication viene spesso utilizzata in situazioni in cui è richiesta una maggiore sicurezza, come l'accesso a risorse finanziarie o a informazioni sensibili.
Come funziona la Strong Customer Authentication
Quando si configura la Strong Customer Authentication per la prima volta, si deve associare il proprio account online a uno smartphone o a un altro dispositivo in grado di ricevere messaggi di testo o codici di accesso. E fin qui il procedimento è comune a quello della 2FA. Inoltre, può essere richiesto di impostare una o più forme di riconoscimento biometrico, come l'impronta digitale o il riconoscimento facciale (ad esempio il FaceId, il TouchId, eccetera).
Successivamente, ogni volta che si accede all'account online, si deve fornire la propria password come prima prova di identità. A questo punto, potrebbe essere richiesto di utilizzare una o più forme di riconoscimento biometrico, come lo sblocco del proprio smartphone con l'impronta digitale. Inoltre, potrebbe essere inviato un messaggio di testo o un codice di accesso al dispositivo associato, che l'utente deve inserire come ulteriore prova di identità per completare l'accesso.
