La vera forza di un sistema di sicurezza digitale dipende fortemente dalla qualità della password. In linea di principio, è consigliabile un password manager, uno strumento molto utile per gestire grandi quantità di password diverse; è chiaro che, anche se si utilizzano password “robuste”, se le stesse sono utilizzate per tutti i sistemi e account, basta forzarne uno per perdere tutto quanto.
Le tecniche di social engineering (phishing, keylogger o attacchi brute-force) approfittano di questa “superficialità umana”, ed ecco che entra in gioco l’autenticazione a due – o anche più – fattori, la cosiddetta 2FA Two Factors Authentication o la MFA Multi-Factor Authentication.
Il report “Annual Global Password Security Report” pubblicato da LastPass, indica che l’uso complessivo della MFA è in aumento nel mondo, soprattutto in ambito business, ma questo trend virtuoso non si registra in alcune nazioni, tra cui l’Italia. Si può insomma fare di meglio
Come si ottiene l’autenticazione a due fattori?
Quando, oltre alla Password, occorre fornire parametri di identificazione; i fattori rientrano in queste quattro categorie:
- qualcosa che l’utente conosce: generalmente si tratta di una password di conferma, ma può essere qualsiasi informazione conosciuta soltanto dall’utente
- qualcosa che possiede l’utente: potrebbe esserlo smartphone, una chiave hardware, una chiavetta USB o un token fornito dalla banca
- qualcosa che è parte dello stesso utente: è normalmente un dato biometrico come le impronte digitali, la voce, l’iride
- il luogo dove si trova l’utente: questa quarta modalità di autenticazione viene talvolta utilizzata dai gestori delle carte di credito, per verificare se la posizione dell’utente sia compatibile con il pagamento che sta eseguendo
La MFA è obbligatoria per gli account bancari e delle carte di credito, per effetto della Direttiva (UE) 2015/2366 (PSD2), mentre in molti altri siti è opzionale: spetta all’utente la scelta di attivarla.
Il consiglio è di adottare la MFA sempre per i siti e account più importanti come gli account email, quelli aziendali come la VPN e anche per i propri profili social.
Facebook e Instagram sono infatti soggetti a numerosi attacchi e, in caso di violazione, le conseguenze possono essere gravi per il titolare del profilo social. Il rischio non è solo quello di non avere più accesso al proprio profilo, ma l’hacker potrebbe utilizzare il profilo per compiere truffe a nostro nome. Senza contare che, se avete usato la stessa password dei vostri sistemi aziendali, i problemi potrebbero essere ancora più gravi.
GlobalNet dispone di sistemi 2FA con token hardware in grado di dare ai propri clienti un livello di sicurezza superiore rispetto ai sistemi standard. Volete autenticare i vostri ingressi? Chiamate GlobalNet!