Autenticazione a due fattori e la Strong Customer Authentication: cosa sono?
I sistemi di autenticazione per alcuni possono essere stressanti: richiedono un certo grado di attenzione per essere eseguiti, spesso li malediciamo, eppure la vasta offerta dei servizi di autenticazione rafforzata ci protegge ogni giorno di più dai pericoli del web.
I più utilizzati sono due: l’autenticazione e due fattori e la cosiddetta strong authentication o autenticazione forte. E sì: non sono la stessa cosa. Si tratta di due metodi diversi anche se molto spesso tendiamo ad assimilarli.
Cosa si intende per autenticazione a due fattori(2FA)?
L'autenticazione a due fattori (2FA), o doppia autenticazione, è un metodo di identificazione di sicurezza che richiede all'utente di fornire due diverse prove della sua identità, prima di accedere ad un account o ad un servizio online. In genere, le credenziali consistono in qualcosa che l'utente sa (come la classica password) e qualcosa che l'utente possiede (ad esempio uno smartphone) e utilizza per ricevere un codice di accesso temporaneo (noto come token) necessario per completare l'accesso.
L'autenticazione a due fattori, come quella di Google, Instagram o Facebook, è diventata una pratica comune per proteggere gli account online, in particolare quelli che contengono informazioni sensibili o che hanno accesso a risorse finanziarie, come il proprio conto bancario o conto aziendale online.
Come funziona l’autenticazione a due fattori?
Quando si configura l'autenticazione a due fattori per la prima volta, si deve associare il proprio account online ad uno smartphone o ad un altro dispositivo in grado di ricevere messaggi di testo o codici di accesso.
Successivamente, ogni volta che si accederà all'account, si dovrà fornire la propria password come prima prova di identità. E fin qui siamo sempre stati abituati (magari scegliendo password troppo deboli…!). A questo punto, però, la sicurezza aumenta, perché subentra un secondo livello: dopo aver verificato che la password sia corretta viene inviato un messaggio di testo o un codice di accesso (il cosiddetto “OTP”, ovvero “One Time Password” - in italiano "password (valida) una sola volta", ovvero solo per una singola sessione di accesso o una transazione) al dispositivo associato all’account, che l'utente deve inserire come seconda prova di identità per completare l'accesso.
In alcuni casi, il codice di accesso può essere generato con un'app dedicata, come Google Authenticator o Authy, che possono essere scaricate sullo smartphone. In questo caso, non è necessario attendere l'arrivo di un messaggio di testo per ottenere il codice di accesso.
L'autenticazione a due fattori è importante perché aggiunge un ulteriore livello di sicurezza all'accesso a un account online. Anche se qualcuno conoscesse la password dell'utente, non sarebbe in grado di accedere all'account senza il codice di accesso inviato al dispositivo associato.
In questo modo si limita drasticamente l’eventuale successo di tentativi di phishing o dei cosiddetti “brute force”, ovvero l'individuazione di una password provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri. Operazione, quest’ultima, che al giorno d’oggi è ancora molto diffusa (poiché, inutile dirlo, troppo spesso si utilizzano combinazioni di password poco efficaci).
Cos’è la Strong Customer Authentication?
La Strong Customer Authentication (letteralmente, “autenticazione forte del cliente”), è un metodo di verifica dell'identità di un utente che richiede l'utilizzo di più fattori di autenticazione al momento dell'accesso a un account o a un servizio online.
A differenza dell'autenticazione a due fattori, che utilizza due fattori di autenticazione (qualcosa che l'utente sa e qualcosa che l'utente possiede), la Strong Customer Authentication può utilizzare tre o più fattori di autenticazione.
Le credenziali o fattori di autenticazione comunemente utilizzati in una SCA sono:
- Qualcosa che l'utente sa: questo può includere una password o una domanda di sicurezza;
- Qualcosa che l'utente possiede: questo può includere uno smartphone o una chiave di accesso fisica, come una chiavetta USB o un token;
- Qualcosa che l'utente è: ovvero un riconoscimento biometrico, come l'impronta digitale o il riconoscimento facciale.
La Strong Customer Authentication viene spesso utilizzata in situazioni in cui è richiesta una maggiore sicurezza, come l'accesso a risorse finanziarie o a informazioni sensibili.
Come funziona la Strong Customer Authentication?
Quando si configura la Strong Customer Authentication per la prima volta, si deve associare il proprio account online a uno smartphone o a un altro dispositivo in grado di ricevere messaggi di testo o codici di accesso.
Fin qui il procedimento è comune a quello della 2FA. Inoltre, può essere richiesto di impostare una o più forme di riconoscimento biometrico, come l'impronta digitale o il riconoscimento facciale (ad esempio il FaceId, il TouchId, eccetera).
Successivamente, ogni volta che si accede all'account online, si deve fornire la propria password come prima prova di identità. A questo punto, potrebbe essere richiesto di utilizzare una o più forme di riconoscimento biometrico, come lo sblocco del proprio smartphone con l'impronta digitale. Inoltre, potrebbe essere inviato un messaggio di testo o un codice di accesso al dispositivo associato, che l'utente deve inserire come ulteriore prova di identità per completare l'accesso.