Autenticazione a due fattori: come attivarla

L’autenticazione a due fattori (o doppia autenticazione, o two-step, o ancora two-factor) è un metodo più sicuro per accedere ai proprio account online, necessita che l’utente inserisca non solo la propria password d’accesso ma anche un secondo codice inviato dal servizio in questione tramite SMS o email, oppure generato da un’app mobile.

Sembra complicato, come tutte le cose diverse dalla normalità sembra più difficile da usare ma se si inizia ad usarlo rende molto più sicuri i nostri account e l’abitudine ci farà capire che non è poi così complicato.

Due parole su come attivarla sui principali servizi, quelli che usiamo un po’ tutti.

Google

L’autenticazione a due fattori può essere abilitata sia per l’uso di Google Authenticator (o di un’applicazione simile) che per l’invio di codici via SMS. Ciò che dovrete fare sarà cliccare sul vostro avatar in alto a destra e selezionare “Account”, dopodiché recarvi su “Sicurezza” (link diretto).

Una nota: dopo che l’autenticazione a due fattori sarà stata attivata, per accedere al proprio account.  a meno non lo si faccia da app ufficiali o quantomeno compatibili con l’autenticazione a due fattori, sarà necessario impostare password singole per ogni applicazione che deve accedere ai servizi di Google. Anche in questo caso la procedura non è complicata, è solo necessario fare un po’ di pratica. Queste password si generano nella stessa schermata “sicurezza” dalla quale si attiva l’autenticazione a due fattori.

Al termine della generazione della password viene consigliato di stampare i “codici per l’accesso di emergenza”. Questi codici sono indispensabili nel caso si perda, per qualche motivo, l’accesso al dispositivo sul quale Google invia SMS o sul quale è installata l’APP per la generazione del codice di accesso. Scontato dirlo ma è consigliato farne una stampa e conservarli in modo sicuro da qualche parte.

Apple

Apple permette di abilitare l’autenticazione a due fattori tramite il sistema di notifica della piattaforma, tale autenticazione sarà poi richiesta da tutti i servizi collegati all’Apple ID (iCloud, Apple Store, iTunes…).
Da web, ci si reca sulla pagina “Il mio ID Apple” ed effettuare l’accesso (link diretto). Cliccare ora su “Password e sicurezza” e selezionare “Inizia” in corrispondenza di “Verifica in due passaggi”. Fatto ciò, non resta che seguire le semplicissimi istruzioni a schermo.

Anche in questo caso, una volta attivata questo tipo di autenticazione, dovremo salvare i codici di backup prodotti e generare una password per ogni applicazione che non supporta nativamente l’autenticazione a due fattori, quasi sicuramente dovremo generarne una per il cliente di posta elettronica.

Facebook

Facebook permette di abilitare l’autenticazione a due fattori sia tramite SMS che tramite l’app mobile. Per farlo si dovrà effettuare il login nel nostro account, dopodiché cliccare sulla freccia in alto a destra e selezionare Impostazioni dal menu che appare (link diretto); infine cliccare su “Protezione” dal menu a sinistra. Cliccare su “Modifica” in corrispondenza di “Approvazione degli accessi” e mettere il segno di spunta su “Richiedi un codice di sicurezza per accedere al mio account da un browser sconosciuto”. Basterà quindi seguire le istruzioni proposte. In questo modo ogni volta che si effettuerà un accesso da un browser non riconosciuto Facebook chiederà la conferma di login dall’app installata sullo smartphone.
E’ anche possibile abilitare un secondo tipo di autenticazione a due fattori, con la generazione del classico codice temporaneo da un’app di terze parti.

Evernote

Evernote supporta questo tipo di autenticazione, sia tramite SMS che tramite le APP per la generazione di codici.
Abilitare l’autenticazione a due fattori su Evernote è abbastanza semplice: basta effettuare il login dalla pagina principale, dopodiché cliccare sulla voce “Impostazioni” in basso a sinistra (link diretto). Da lì fare click sulla voce “Riepilogo sicurezza” dal menu a sinistra re-inserire la password quando richiesto. Cliccare su “Abilita” in corrispondenza della voce “Verifica in due passaggi” e seguire le istruzioni a schermo.
Sarà necessario specificare un indirizzo email valido perché la procedura vada a buon fine. La procedura di attivazione dell’autenticazione a due fattori termina solo quando stamperemo o salveremo i codici di backup proposti.

Dropbox

Permette di ottenere la password “monouso” tramite SMS o tramite app ad-hoc. Anche in questo caso la procedura è molto semplice: basterà accedere a Dropbox, cliccare sul proprio nome in alto a destra e da lì scegliere “Impostazioni”, dopodiché cliccare sulla scheda “Sicurezza” (link diretto).

Le APP

Dato che la generazione di One-time-password per l’autenticazione a due fattori è basato su uno standard (RFC 6238 e RFC 4226) le APP per la generazione delle password sono molte. Personalmente preferisco usare 1Password sia per custodire in modo sicuro le password sia per la generazione dei codici OTP.
Altre APP che ho provato:

Arrivati fino a qui….

Un consiglio spassionato: se leggete questo post…. attivate l’autenticazione a due fattori agli account dei vostri servizi web 🙂

Autenticazione in due passaggi (Two Steps Verification)

2FA è l’acronimo per “Two Factors Authentication” ovvero autenticazione attraverso due fattori.
Siamo abituati normalmente ad accedere ai nostri servizi digitando un nome utente ed una password. Anche tenuto conto che l’utente utilizzi tutte le regole per la creazione delle password, ormai il semplice utilizzo di username e password risulta poco sicuro: i sistemi per “rubarle” stanno diventando sempre più efficienti. Molti dei servizi che utilizziamo normalmente (Google, iCloud, Dropbox e Twitter) permettono agli utenti di utilizzare un meccanismo di autenticazione basato su due fattori al posto della normale password.

Come funziona?
L’autenticazione in due fattori prevede due fattori (appunto) diversi per la verifica delle credenziali di accesso ad un servizio. Il primo fattore è la password dell’account, il secondo fattore è un codice generato ad ogni accesso ed inviato su un device precedentemente scelto dall’utente e giudicato sicuro.
Nella maggior parte dei casi, questo secondo codice, viene inviato via SMS su un numero di cellulare fornito in fase di sottoscrizione del servizio.
L’invio, però, può avvenire in modi diversi: via SMS, via Push Message oppure generando il codice attraverso un’applicazione. L’algoritmo di generazione di questo codice è descritto in “RFC6238 – TOTP: Time-Based One-Time Password Algorithm” http://tools.ietf.org/html/rfc6238

Quindi….?
Attivare la verifica in due passaggi aumenta incredibilmente la sicurezza dei nostri account e ci permette di sapere se qualcuno sta tentando di accedervi senza il nostro permesso (in questo caso ci vedremmo recapitare un messaggio con una password senza aver digitato la nostra password principale da nessuna parte).

Come attivarlo?
Il modo per attivarlo varia a seconda del servizio. Le istruzioni non sono sempre raggiungibili facilmente: personalmente ho attivato la verifica in due passaggi su Google, iCloud, Twitter, Dropbox e Facebook.
Ammetto che l’adozione cambia un po’ il modo di lavorare ma ci si fa velocemente l’abitudine e si viene ripagati sapendo che la nostra sicurezza aumenterà.