8 Min read

4,1 miliardi di record sono stati esposti, nei primi sei mesi del 2019, a violazioni  dei dati,  afferma  un  rapporto  di  Forbes. Con i crimini informatici  in   costante aumento,  le  aziende devono adottare misure proattive  per proteggere i dati sensibili e stabilire la  fiducia  dei  clienti.

L’Autenticazione a due fattori (2FA) è un sistema sicuro e intuitivo per verificare l’identità prima di concedere l’accesso agli utenti. 

Perchè l’Autenticazione a due fattori?

L’esecuzione di processi interattivi sul Web che richiedono uno scambio di dati tra l’azienda e altre parti su un sistema di autenticazione a fattore singolo, può esporre i dati a un rischio enorme. Può attrarre tentativi dannosi avanzati, come un attacco di phishing, la distribuzione di malware o l’uso improprio delle opzioni di recupero dell’account, da parte di hacker in cerca di guadagni.

Secondo un rapporto di Verizon, l’81%  delle  violazioni è motivato finanziariamente.  

Sapere come l’autenticazione a due fattori può proteggerci da questi tipi di attacchi  è  l’unico  modo  per  prendersi  cura  della propria sicurezza.

Le aziende possono offrire una delle seguenti opzioni personalizzando i fattori di autenticazione più corretti a seconda delle esigenze dei clienti:

• SMS per domande sulla sicurezza  
• Chiamata vocale tramite posta  elettronica
• Notifiche push token software  token  hardware 

Diamo un’occhiata a ciascuno di  loro nel dettaglio.

Domande sulla sicurezza

Rappresentano un tipo di sistema di autenticazione basato sulla conoscenza, le domande sulla sicurezza sono uno dei metodi più comuni di verifica dell’identità. L’azienda o il cliente impostano delle domande predefinite che vengono poste al momento dell’autenticazione, per esempio:  “il  tuo primo  numero  di telefono”, “il nome del  tuo primo insegnante”, “l’importo della tua prima busta paga”,  ecc.

La chiave  sta  nella  scelta  delle  domande  giuste. Più  difficile sarà per l’haker indovinare le risposte e più sicuro è il sistema.  

Idealmente, le risposte sono stabili e non cambiano spesso e non possono essere  reperite  da ricerche   preliminari sulla tua vita online o attraverso conversazioni personali. Le risposte devono sono informazioni che hai solo nella tua memoria e nel tuo set di conoscenze.

SMS

I messaggi di  testo  vengono  utilizzati  per  autenticare  le identità degli utenti registrati tramite un telefono cellulare. Generalmente, un PIN (Personal Identification  Number)  o una one time password una t-time (OTP) viene inviato via SMS dopo che l’utente ha inserito correttamente il nome utente e la password corretti.

Il PIN o l’OTP deve essere limitato nel tempo e univoco per ogni trigger. Le aziende possono automatizzare e crittografare questo processo scegliendo un fornitore di servizi SMS o di comunicazione cloud.

Il 64% dei professionisti IT considera gli SMS di autenticazione come un sistema estremamente sicuro di autenticazione.

E-mail 

Analogamente all’autenticazione SMS, un codice univoco con limiti di tempo può essere  inviato  agli  indirizzi  e-mail registrati dagli utenti. Questo metodo è ottimale per gli utenti che non hanno i loro telefoni a portata di mano e funziona anche se vengono persi o rubati. Inoltre, gli utenti possono accedere alle loro e-mail da qualsiasi dispositivo e da qualsiasi parte del mondo, senza  preoccuparsi delle tariffe di roaming.  

Chiamata vocale

Le aziende possono scegliere di autenticare le identità degli utenti tramite telefonate automatiche. Ad esempio durante una transazione o un login, i clienti riceverebbero una chiamata vocale sul proprio numero di cellulare registrato con l’OTP dettato oralmente.  

Un sondaggio del 2018  condotto da “Statista”  afferma che il 57% dei professionisti IT considera l’autenticazione telefonica come una  forma estremamente sicura  di autenticazione dell’identità.  

Questo formato funziona  al  meglio  per  una base di utenti con bassa  penetrazione dello smartphone e scarsa ricezione della rete. È anche più conveniente per  il  pubblico  anziano  che  non è  abituato ad altre  modalità di comunicazione.

Token hardware

I token hardware,  simili  ai  telecomandi, sono  una  delle  forme più antiche di autenticazione a due fattori. Sono piccoli dispositivi di sicurezza  programmabili che vengono utilizzati per controllare e proteggere l’accesso ai servizi e ai dati degli utenti. Possono essere inseriti  nel dispositivo in  cui viene  eseguito il  processo di autenticazione per completarlo. Il sistema identifica automaticamente il codice numerico generato  dal token hardware.  

Questo metodo è più  praticabile e adatto a clienti ad alto valore e a rischio, come il settore BFSI. La sfida più grande che lo accompagna è la possibilità  di perdere o staccare male il token hardware. Le  aziende che optano per  questo sistema devono assicurarsi che  i loro  clienti  siano  disposti a fare un ulteriore passo per mantenere il dispositivo sicuro e protetto.

Token software

Un’altra  alternativa  all’autenticazione  sms  o basata  su  voce è un  token software. Utilizza anche una password una t-one time basata sul tempo (TOTP) ma la consegna tramite un’applicazione di terze parti gratuita. Gli utenti  possono  installare  l’app su qualsiasi  dispositivo –  mobile,  tablet  o  desktop  –  online  o offline. Richiede un codice  di autenticazione per meno di un minuto per  2FA.  

Dal momento che non è una soluzione basata sulla rete, non può essere intercettato dagli hacker. Inoltre, la stessa app può essere utilizzata per accedere a più account aziendali, rendendola un’opzione conveniente per gli utenti finali.

Notifiche push

Un’aggiunta relativamente più nuova alle modalità di autenticazione a due fattori è la notifica push. Rispetto ai metodi precedenti, non richiede alcuna password o codice da digitare o inserire. Questo sistema intuitivo richiede al cliente di premere semplicemente sull’opzione “accetta” o “nega” la richiesta sul proprio dispositivo per l’autenticazione. Con un solo tocco, l’utente può completare il processo 2FA. 

Le notifiche  push  funzionano  meglio  per  i  clienti  con facile accesso  alla  connessione  Internet  e smartphone o tablet. Elimina  la possibilità  di attacchi di phishing, attacchi man-in-the-middle o accessi non autorizzati.