Autenticazione in due passaggi (Two Steps Verification)

2FA è l’acronimo per “Two Factors Authentication” ovvero autenticazione attraverso due fattori.
Siamo abituati normalmente ad accedere ai nostri servizi digitando un nome utente ed una password. Anche tenuto conto che l’utente utilizzi tutte le regole per la creazione delle password, ormai il semplice utilizzo di username e password risulta poco sicuro: i sistemi per “rubarle” stanno diventando sempre più efficienti. Molti dei servizi che utilizziamo normalmente (Google, iCloud, Dropbox e Twitter) permettono agli utenti di utilizzare un meccanismo di autenticazione basato su due fattori al posto della normale password.

Come funziona?
L’autenticazione in due fattori prevede due fattori (appunto) diversi per la verifica delle credenziali di accesso ad un servizio. Il primo fattore è la password dell’account, il secondo fattore è un codice generato ad ogni accesso ed inviato su un device precedentemente scelto dall’utente e giudicato sicuro.
Nella maggior parte dei casi, questo secondo codice, viene inviato via SMS su un numero di cellulare fornito in fase di sottoscrizione del servizio.
L’invio, però, può avvenire in modi diversi: via SMS, via Push Message oppure generando il codice attraverso un’applicazione. L’algoritmo di generazione di questo codice è descritto in “RFC6238 – TOTP: Time-Based One-Time Password Algorithm” http://tools.ietf.org/html/rfc6238

Quindi….?
Attivare la verifica in due passaggi aumenta incredibilmente la sicurezza dei nostri account e ci permette di sapere se qualcuno sta tentando di accedervi senza il nostro permesso (in questo caso ci vedremmo recapitare un messaggio con una password senza aver digitato la nostra password principale da nessuna parte).

Come attivarlo?
Il modo per attivarlo varia a seconda del servizio. Le istruzioni non sono sempre raggiungibili facilmente: personalmente ho attivato la verifica in due passaggi su Google, iCloud, Twitter, Dropbox e Facebook.
Ammetto che l’adozione cambia un po’ il modo di lavorare ma ci si fa velocemente l’abitudine e si viene ripagati sapendo che la nostra sicurezza aumenterà.

…e io ti leggo la mail

topsecret

Dopo un po’ di tempo e di riflessioni, voglio dire la mia sulla questione Prism.
Proviamo a partire da questo presupposto: se un servizio è gratis, nel senso se non ho un esborso economico per poterlo usare, allora lo pago in qualche altro modo.
La mia casella di posta elettronica con gmail, la pago permettendo ai sistemi automatici di Google di leggere il contenuto della mia corrispondenza, per suggerirmi prodotti che incontrano il mio gusto. La stessa cosa la possiamo direi di G+, Facebook e compagnia cantante.
Quando posto su un socialnetwork le mie informazioni vengono condivise con la rete, ma questo è proprio quello che voglio ottenere quando mi iscrivo ad una di queste reti sociali.
Prism è il figlio di Echelon, il sistema che secondo la leggenda popolare spiava tutte le telefonate.
Che NSA e CIA controllassero i messaggi scambiati sui socialnetwork e sugli altri media, sinceramente, non mi sembra una notizia sensazionale, diciamo che potevo aspettarcelo. Che i BIG abbiano dato accesso ai dati degli utenti alle agenzie di sicurezza non mi scandalizza; se questo può servire ad evitare nuove Boston, ben venga….Ma quello che non sopporto è la politica di negazionismo che ha accompagnato i BIG player. Il fatto che fino all’ultimo abbiano negato. Questa volta, la richiesta di accesso ai dati è stata fatta per motivi di sicurezza nazionale. Nei piani dei big c’era di non far trapelare l’informazione. Qualcuno li ha beccati con le mani sporche di cioccolato e hanno confessato di averlo fatto per i bene nazionale. Ma cosa sarebbe successo se la richiesta non fosse stata fatta dalle agenzia di sicurezza ma da un altro organismo? Quanto sarebbe interessata la China a controllare nella corrispondenza delle grandi aziende statunitensi?
Quando sarebbe interessata H3G ad accedere alla corrispondenza di Telecomitalia? Il problema, secondo me, non è legato a questo singolo episodio, ma è legato al fatto che chi dovrebbe garantire la nostra privacy, non solo non lo ha fatto, ma ha negato fino all’ultimo di averla violata. L’effetto è devastante: ci si sente continuamente spiati e si ha la sensazione che, fino a quando non succederà il grosso incidente, continueremo ad esserlo senza saperlo.
Il controllo della rete di telecomunicazioni di un paese è la nuova forma di assedio e una delle nuove frontiere dei conflitti. La vera guerra “intelligente”: nella quale non ci sono morti a causa delle armi, ma ce ne sono a causa del caos che si genera per la mancanza della rete….