L’autenticazione a due fattori richiede l’utilizzo di un dispositivo personale diverso da quello che stai utilizzando quando accedi per migliorare la sicurezza. Ecco i migliori per iOS 16.
Data l’ampia gamma di minacce alla sicurezza e violazioni su Internet, è più importante che mai proteggere i tuoi account e dati online.
L’autenticazione a due fattori (2FA) è un modo per garantire che solo tu avere accesso ai tuoi account tramite un secondo modo per verificare chi sei quando effettui il login.
In 2FA, in genere accedi con una password come al solito, ma poi il sistema online a cui stai accedendo ti ricontatta per chiederti di verificare te stesso. Questo di solito si ottiene tramite un’e-mail o uno speciale codice monouso (OTC) che ti viene inviato tramite e-mail, SMS o telefonata.
Una volta che hai in mano l’OTC, lo usi essenzialmente per confermare al sistema che sei chi dici di essere. Una volta inserito il codice che ti è stato inviato, l’autenticazione è completata e sei autorizzato ad utilizzare il sistema.
La maggior parte delle banche e dei servizi di pagamento online come PayPal e siti di aste come eBay e altri ora utilizzano 2FA quando accedi.
Uno dei motivi per cui 2FA è più sicuro delle semplici password è necessario avere in tuo possesso il dispositivo a cui viene inviato il codice segreto per completare il login: se qualcun altro tenta di accedere affermando di essere te, verrà negato dal sistema poiché non ha il tuo telefono, tablet o accedi al tuo account di posta elettronica.
2FA rende l’accesso più sicuro richiedendo un ulteriore passaggio nel processo di accesso inviato in tempo reale dal sistema a cui stai accedendo. Non è infallibile, ma è molto più sicuro di una semplice password.
App di autenticazione a due fattori e codici QR
Per portare l’idea 2FA un ulteriore passo avanti, ora ci sono una serie di app che puoi installare sul tuo dispositivo personale, ognuno dei quali riceve e memorizza un codice segreto per ogni sistema a cui si desidera accedere in futuro. I codici di solito scadono rapidamente in modo che non possano essere rubati e utilizzati da altri.
La prima volta che accedi a ciascun sistema online, potrebbe ti chiederà di scansionare sul tuo dispositivo mobile un codice QR che presenta sul tuo computer, oppure potrebbe inviarti un codice 2FA per un uso futuro. Ogni codice viene memorizzato nell’app per un uso successivo.
L’app 2FA sa quali codici appartengono a quali sistemi, quindi non devi ricordarli. La maggior parte della configurazione è automatica sul back-end.
L’idea alla base delle app 2FA è che l’app funge da magazzino per tutti i tuoi codici segreti. La prossima volta che vuoi accedere a un determinato sistema, cerca semplicemente il codice sul tuo dispositivo mobile e inseriscilo nel tuo computer, oppure usalo per scansionare un nuovo codice QR presentato sul sistema al momento dell’accesso.
L’infrastruttura di back-end dell’app notifica quindi al sistema che stai tentando di accedere e che sei chi dici di essere.
Le app 2FA agiscono come una sorta di intermediario: l’autenticazione avviene sempre su un sistema di terze parti, mai sul sistema a cui stai tentando di accedere. Questa è considerata una buona pratica di sicurezza.
Nella maggior parte dei casi, i sistemi di backend coinvolti passano un token di autorizzazione tra ciascuno altro per la sessione di accesso. Se il token scade, probabilmente ti verrà chiesto di accedere nuovamente. Tutto questo avviene in modo invisibile sul backend.
Una volta verificato il tuo codice segreto utilizzando la tua app 2FA, il suo back-end comunica al sistema a cui desideri accedere che è tutto a posto e di procedere. Questo è il tipo di processo di accesso tokenizzato che si verifica, ad esempio, quando acquisti qualcosa su eBay e poi lo paghi con PayPal online.
Le app 2FA si limitano a estendere ulteriormente un design di sistema simile memorizzando i tuoi segreti necessari per accedere.
Quale app di autenticazione a due fattori è la migliore?
Ci sono dozzine di app 2FA sul mercato. Alcuni sono gratuiti, altri devi pagare un servizio da utilizzare.
I principali attori di Internet come Google e Microsoft hanno app di autenticazione 2FA, così come Oracle, 2Stable e altri. Alcune app 2FA come Authy e altre richiedono la registrazione prima sul loro sito web e fornisci informazioni personali incluso il tuo numero di telefono. Altri no.
2Stable fornisce anche un’app di autenticazione per Apple Watch.
Google Authenticator è semplice, ma non fornisce alcun modo integrato per eseguire il backup dei dati o dei segreti 2FA.
Su iOS, alcune app 2FA supportano anche FaceID e TouchID, altri no.
Duo Mobile, che è stato acquisito di Cisco Systems, è destinato più all’uso aziendale.
Nota che LastPass ha sia un’app 2FA che un’app per la gestione delle password. I due sono diversi. Il gestore delle password serve per archiviare le password, l’app 2FA è per i segreti utilizzati solo in 2FA.
Di gran lunga la più popolare delle app 2FA gratuite è 2FAS.
2FAS è facile da configurare e utilizzare, fornisce un semplice elenco a scorrimento di segreti temporizzati e l’aggiunta di nuovi servizi o siti Web è un gioco da ragazzi. Ad esempio, molte società di web hosting ora supportano 2FAS per l’autenticazione dell’accesso, che è necessario impostare solo una volta.
Questo di solito comporta la scansione di un codice QR automatico quando si attiva 2FA sul pannello di controllo dell’hosting web, che viene quindi scansionato sul telefono utilizzando la fotocamera. 2FAS riconosce il codice QR e genera un OTC univoco a sei cifre ogni 30 secondi per ogni servizio durante la visualizzazione dell’app sul tuo dispositivo mobile.
Da quel momento in poi, nessuno potrà accedere al tuo account di web hosting a meno che hanno sia la tua password di accesso, sia il tuo dispositivo mobile. 2FAS offre anche una versione per Android.
La maggior parte degli altri siti Web che supportano 2FA funzionano in modo simile.
La maggior parte dei codici segreti memorizzati nelle app 2FA scadono molto rapidamente-entro trenta secondi circa, quindi si ripristinano automaticamente nell’app. Ciò impedisce che eventuali codici che potrebbero essere stati compromessi rimangano validi per molto tempo.
In pratica hai meno di un minuto per utilizzare i codici visualizzati o vengono invalidati. Ciò impedisce anche a chiunque altro di annotare i codici e di utilizzarli in seguito.
App Apple Watch
Alcune app 2FA offrono un’app Apple Watch: al momento della stesura di questo documento Authy e Microsoft Authenticator offrono una versione Apple Watch delle loro app 2FA , Google e LastPass no.
Crittografia
La maggior parte delle app 2FA supporta la crittografia durante la sincronizzazione e il backup, ma sorprendentemente, al momento della stesura di questo articolo né Microsoft Authenticator né Google Authenticator lo fanno. Alcune app 2FA come TOTP Authenticator lo fanno, ma solo durante il backup.
Autenticazione a due fattori su Mac
Come nota a margine, puoi anche utilizzare 2FA su Mac, utilizzando il sistema di accesso di Apple, Face ID, o Touch ID che ora è standard sulla maggior parte dei dispositivi Apple, inclusa la maggior parte delle tastiere Mac attuali. L’accesso alla maggior parte dei sistemi online Apple come ID Apple genererà un codice monouso 2FA (OTC) che tu deve entrare su un altro dispositivo Apple per accedere.
Se possiedi un solo dispositivo Apple, Apple invierà l’OTC allo stesso dispositivo, il che in qualche modo vanifica il suo scopo se il tuo dispositivo cade nella posizione sbagliata mani. Face ID e Touch ID, ovviamente eliminano questa mancanza.
Le società di hardware di terze parti come Yubico vendono dispositivi USB plug-in, che usa la tua impronta digitale per autenticarti, proprio come fa il Touch ID di Apple.
Google vende chiavi USB biometriche simili chiamate Token di sicurezza Titan , che essenzialmente funzionano come Yubikey.
L’autenticazione biometrica hardware è sempre più sicura della semplice autenticazione software perché è necessario disporre del dispositivo fisico e dell’impronta digitale o del volto per l’autenticazione. La biometria aggiunge un ulteriore livello di sicurezza alla 2FA, rendendola 3FA: sei una terza chiave.
Scegli con saggezza
La maggior parte delle app 2FA sono alla pari tra loro, a parte i problemi minori sopra menzionati. La maggior parte non ha grossi problemi: se lo facessero sarebbero considerati un rischio per la sicurezza e verrebbero ritirati rapidamente dagli app store di Apple e Google.
Le app 2FA di terze parti di gran lunga più popolari e di successo sono 2FAS e Authy con un netto margine, con Duo Mobile leader per l’uso aziendale.
2FAS e Authy sono semplici e facili da configurare, 2FAS non richiede il tuo numero di telefono o nemmeno un’email da configurare e nessuna delle due app causa problemi. Entrambi sono semplici.
Non puoi davvero sbagliare con un’app 2FA. Se la tua app non utilizza codici in tempo reale, assicurati solo di eseguire il backup dei tuoi segreti in un modo che ti consenta di accedervi in un secondo momento se necessario: se perdi l’accesso ai tuoi segreti, è probabile che sarai bloccato dai tuoi account abilitati per 2FA.
