Se trovi fastidiose le password, potresti non apprezzare molto l’autenticazione a due fattori. Ma gli esperti di sicurezza dicono che è uno dei modi migliori per proteggere i tuoi account online. In poche parole, l’autenticazione a due fattori aggiunge un secondo passaggio nella normale procedura di accesso. Dopo aver inserito il nome utente e la password, ti verrà richiesto di inserire un codice inviato come messaggio di testo o un’email o, talvolta, come notifica push sul telefono.

In generale, aggiunge solo qualche secondo in più alla tua giornata.

L’autenticazione a due fattori (a volte chiamata “verifica in due passaggi”) combina qualcosa che conosci – il tuo nome utente e la tua password, con qualcosa che possiedi – come il tuo telefono o una chiave di sicurezza fisica, o anche qualcosa che sei – come la tua impronta digitale o un’altra biometrico, come un modo per confermare che una persona è autorizzata ad accedere.

Potresti non averci pensato molto, ma lo fai più di quanto pensi. Ogni volta che prelevate denaro da un bancomat, inserite la carta (qualcosa che avete) e inserite il vostro PIN (qualcosa che sapete) – che dice alla banca che siete voi. Anche quando utilizzi la tua carta di credito su Internet, spesso hai ancora bisogno di qualcosa che conosci, come il tuo CAP o il tuo codice postale.

Avere una seconda fase di autenticazione rende molto più difficile per un hacker o un ladro irrompere nei tuoi account online.

Perché è importante due fattori?

Sono finiti i giorni in cui la tua password fidata può proteggerti. Anche se disponi di una password univoca per ogni sito web che utilizzi, c’è poco nel modo di bloccare il malware sul tuo computer (o persino sul sito web!) Dallo scraping della tua password e dal suo utilizzo. Oppure, se qualcuno ti vede inserisci la tua password, possono memorizzarla e accedere come te.

Non pensi che ti succederà? I cosiddetti “attacchi di credenziali” o attacchi di forza bruta possono rendere più facile agli hacker di intrufolarsi e dirottare gli account online della gente alla rinfusa. Succede sempre. Dunkin ‘Donuts , Warby Parker , GitHub , AdGuard , il Dipartimento di Stato – e persino i conti di iCloud di Apple sono stati tutti vittime di attacchi di furto di credenziali negli ultimi anni. Solo gli account a due fattori sono protetti da questi attacchi di accesso automatico.

Two-factor ti protegge anche dalle e-mail di phishing. Ad esempio, se qualcuno ti manda un’email dubbia che tenta di indurti ad accedere con il tuo nome utente e password di Google o Facebook a un sito falso, il fattore due può comunque proteggerti. Solo il sito legittimo ti invierà un codice a due fattori funzionante.

L’attivazione di due fattori è un buon inizio, ma non è una panacea. Per quanto possa impedire agli hacker di accedere come te, ciò non significa che i tuoi dati memorizzati sul server siano protetti da hacker che violano un server altrove, o da un governo che richiede che l’azienda giri i tuoi dati.

E alcuni metodi a due fattori sono migliori di altri. Come vedrai.

Il modo migliore per tenere in considerazione i tuoi account in due modi

Prendiamo qualcosa di veramente veloce. Anche se vuoi fare il massimo e proteggere i tuoi account, ti accorgerai presto che molti siti e servizi non supportano due fattori. Dovresti dirglielo! Puoi vedere se un sito web supporta due fattori qui .

Ma mentre aumentano gli attacchi di riempimento delle credenziali e le violazioni dei dati sono diventate un evento normale, molti siti e servizi stanno facendo tutto il possibile per proteggere i loro utenti.

Esistono quattro tipi principali di autenticazione a due fattori, classificati in ordine di efficacia:

Un codice di messaggio di testo: la forma più comune di due fattori è un codice inviato da SMS. Non richiede un’app o anche uno smartphone, solo una singola barra del servizio cellulare. È molto facile iniziare. Ma un messaggio di testo a due fattori è il metodo meno sicuro. In questi giorni, gli hacker possono facilmente sfruttare i punti deboli nelle reti telefoniche per rubare i codici SMS a due fattori . Poiché i messaggi SMS non sono crittografati, possono anche solo perdere . Più di recente, i ricercatori hanno scoperto che questo può essere fatto su larga scala . Inoltre, se il tuo telefono viene perso o rubato, hai un problema. Un codice di messaggi di testo è meglio che non usare due fattori, ma ci sono molte più opzioni sicure.

Un codice app di autenticazione: funziona in modo simile al messaggio di testo, tranne che dovrai installare un’app sul tuo smartphone. Ogni volta che accedi, riceverai un codice inviato alla tua app. Ci sono molte app di autenticazione tra cui scegliere, come Authy, Duo e Google Authenticator. La differenza qui è che vengono inviati tramite una connessione HTTPS, rendendo quasi impossibile per chiunque scovare e rubare il codice prima di usarlo. Ma se perdi il telefono o hai malware sul tuo telefono, in particolare i dispositivi Android, questi codici possono essere rubati una volta arrivati ​​sul tuo dispositivo.

Un biometrico: sorridi! Sei in camera Spesso, in ambito industriale o aziendale, ti verranno chiesti i dati biometrici, come il riconoscimento facciale, una scansione dell’iride o, più probabilmente, un’impronta digitale. Questi di solito richiedono hardware specializzato (e software) e sono meno comuni. Uno svantaggio è che queste tecnologie possono essere falsificate, come la clonazione di un’impronta digitale o la creazione di una testa stampata in 3D .

Una chiave fisica: ultimo ma non meno importante, una chiave fisica è considerata il più forte di tutti i metodi di autenticazione a due fattori. Google ha dichiarato di non aver avuto una singola acquisizione di account confermata da quando ha distribuito le chiavi di sicurezza al suo staff. Le chiavi di sicurezza sono chiavette USB che puoi tenere sul tuo portachiavi. Quando accedi al tuo account, ti viene chiesto di inserire la chiave univoca crittografica nel tuo computer e il gioco è fatto. Anche se qualcuno ruba la tua password, non possono accedere senza quella chiave. E le pagine di phishing non funzioneranno perché solo i siti legittimi supportano le chiavi di sicurezza. Queste chiavi sono progettate per contrastare anche gli attaccanti più intelligenti e più intraprendenti, come gli hacker degli stati nazione.

Esistono diverse chiavi di sicurezza tra cui scegliere: Google ha il suo Advanced Protection Program per utenti ad alto rischio, come politici e giornalisti, e la sua chiave Google Titan per tutti gli altri. Ma molti esperti di sicurezza diranno che Yubikey è il gold standard delle chiavi di sicurezza. Ci sono alcune cose da notare. In primo luogo, non molti siti supportano ancora le chiavi di sicurezza, ma la maggior parte delle aziende più importanti, come Microsoft, Facebook, Google e Twitter. Di solito, quando si imposta una chiave fisica, non è possibile ripristinare un codice di testo o biometrico. È una chiave di sicurezza, o nulla. Uno svantaggio è che dovrete acquistare due – uno come backup – ma le chiavi di sicurezza sono poco costose. Inoltre, se uno viene rubato, non c’è modo di determinare il tuo account dalla chiave stessa. Ma se li perdi entrambi, potresti essere fatto per. Anche la società che memorizza i tuoi dati potrebbe non essere in grado di riportarti nel tuo account. Quindi, fai attenzione e tienilo al sicuro.

Questo è quello che devi sapere. Potresti voler creare una lista di controllo dei tuoi account più preziosi e iniziare a attivare l’autenticazione a due fattori iniziando da loro. Nella maggior parte dei casi, è semplice – ma puoi sempre andare su questo sito Web per imparare come abilitare due fattori su ciascun sito web. Potresti volerci circa un’ora per esaminare tutti i tuoi account, quindi metti un po ‘di caffè e inizia.

Dovresti vedere due fattori come un investimento in sicurezza: un pò del tuo tempo oggi, per salvarti da un mondo di guai domani.

Fonte: TechCrunch
Articolo Originale

Autore: Zach Whittaker