La nuova app Password di Apple è sicura solo se lo è il tuo dispositivo, poiché è possibile accedervi utilizzando il codice di accesso del telefono.
L’autenticazione a più fattori (MFA) è diventata essenziale nel campo della sicurezza informatica per proteggere gli account online. Garantisce che solo gli utenti autorizzati possano accedere a un account. Tuttavia, quando scegli un metodo di MFA, alcune opzioni sono più sicure di altre. Un’app di autenticazione è più sicura dell’autenticazione SMS perché genera codici 2FA a livello locale, impedendo così ai cybercriminali di intercettarli come nel caso degli SMS.
Continua a leggere per scoprire di più sulle app di autenticazione, l’autenticazione SMS, perché le app di autenticazione sono più sicure dell’autenticazione SMS e come configurare un’app di autenticazione.
Che cos’è un’app di autenticazione?
Un’app di autenticazione è un’applicazione che viene utilizzata come un ulteriore metodo di verifica per l’MFA. Genera un codice a livello locale sul tuo dispositivo da utilizzare insieme alle tue credenziali di accesso per accedere ai tuoi account online. Questi codici delle app di autenticazione sono noti come Time-based One Time Password (TOTP). Le TOTP sono dei codici unici di 6-8 cifre che durano da 30 a 60 secondi. Dopo ogni 30-60 secondi, l’app di autenticazione genera un nuovo codice TOTP unico basato su un algoritmo segreto.
Le app di autenticazione funzionano in base al modello di verifica TOTP. Quando un utente configura l’MFA per il proprio account, può scegliere la TOTP come metodo di MFA. Così facendo, il server dell’account creerà un codice QR per l’app di autenticazione da scansionare o una chiave segreta da inserire manualmente. Il codice QR e la chiave contengono un algoritmo segreto che genera codici TOTP in tempo reale. Dopo che l’utente ha finito di configurare la sua app di autenticazione, sia l’app di autenticazione che il server dell’account genereranno contemporaneamente lo stesso codice.
Se l’utente cerca di accedere al proprio account, dovrà inserire le sue credenziali di accesso insieme al codice TOTP della sua app di autenticazione. Il server dell’account verificherà quindi il codice TOTP dell’utente per vedere se corrisponde allo stesso codice generato dal server dell’account. Se i codici corrispondono, l’utente potrà accedere all’account. Se i codici non corrispondono, all’utente verrà negato l’accesso all’account.
Che cos’è l’autenticazione SMS?
L’autenticazione SMS è un metodo di autenticazione che verifica l’identità di un utente mediante un codice inviato tramite messaggio di testo. Questi codici sono delle One-Time Password (OTP) generate per essere utilizzate una sola volta. Le OTP possono durare da 30 secondi a un’ora e gli utenti devono richiedere una nuova OTP una volta scaduto il termine, se necessario.
Durante la creazione di un account, agli utenti viene spesso chiesto di fornire il loro numero di telefono, che verrà utilizzato dal server dell’account per inviare un codice OTP. Per accedere al loro account, gli utenti devono fornire le loro credenziali di accesso insieme al codice OTP che ricevono tramite testo. L’autenticazione e-mail è analoga all’autenticazione SMS, ma utilizza un indirizzo e-mail invece di un numero di telefono per inviare i codici OTP.
Perché preferire un’app di autenticazione all’autenticazione SMS
Utilizza un’app di autenticazione piuttosto che l’autenticazione SMS perché è più sicura e ha meno probabilità di essere intercettata dai cybercriminali. Le app di autenticazione generano codici 2FA a livello locale su un dispositivo, invece di inviarli non crittografati tramite messaggio di testo. Anche i codici 2FA nelle app di autenticazione cambiano ogni 30-60 secondi, rendendoli difficili da rubare per i cybercriminali.
L’autenticazione SMS invia i codici 2FA non crittografati tramite messaggio di testo. I codici 2FA tramite SMS possono essere facilmente compromessi da attacchi man-in-the-middle e SIM swapping.
- Attacco man-in-the-middle: un tipo di attacco informatico in cui i cybercriminali intercettano i dati trasmessi su una rete WiFi non crittografata. Se un utente è connesso a una rete WiFi pubblica o appositamente creata, i cybercriminali possono intercettare, rubare o modificare il traffico internet dell’utente, inclusi i codici 2FA.
- SIM swapping: quando i cybercriminali si fingono una vittima per convincere un operatore di telefonia mobile ad attivare una nuova scheda SIM con il numero di telefono della vittima. I cybercriminali riceveranno quindi i messaggi di testo e le telefonate della vittima, che potranno utilizzare per rubare i codici 2FA mediante SMS.
Poiché le app di autenticazione generano codici 2FA a livello locale, i codici non possono essere intercettati dai cybercriminali. L’unico modo per rubare i codici 2FA da un’app di autenticazione è compromettendo il dispositivo con un malware, mediante social engineering o rubando fisicamente il dispositivo; tuttavia, questi metodi potrebbero essere utilizzati anche per rubare i codici SMS. Un altro modo per rubare i codici 2FA dalle app di autenticazione è rubando il codice QR, cosa rara e molto difficile. Gli utenti possono proteggere facilmente i codici 2FA di un’app di autenticazione proteggendo il loro dispositivo mediante un PIN, evitando malware e social engineering e mantenendo i codici QR e 2FA nascosti.
Come configurare un’app di autenticazione
Configurare l’MFA con un’app di autenticazione è facile. Ecco come procedere per configurare un’app di autenticazione:
- Scegli un’app di autenticazione: non tutte le app di autenticazione sono uguali. Devi scegliere un’app di autenticazione che soddisfi le tue esigenze. Ti consigliamo di utilizzare un password manager poiché alcuni password manager possono generare e memorizzare i codici 2FA in una cassaforte password digitale.
- Scarica l’app di autenticazione sul tuo dispositivo: se utilizzi un’app di autenticazione autonoma, devi scaricare l’app sul tuo dispositivo. Scarica l’app di autenticazione sul tuo telefono per potervi sempre accedere in qualsiasi momento.
- Abilita l’MFA sul tuo account: dopo aver scaricato l’app di autenticazione, devi accedere al tuo account e abilitare l’MFA. Scegli l’impostazione che ti consente di utilizzare un’app di autenticazione come metodo MFA. Il tuo account ti mostrerà quindi il codice QR e la chiave segreta con l’algoritmo che genera le TOTP.
- Scansiona il codice QR o inserisci la chiave segreta mediante l’app di autenticazione: scansiona quindi il codice QR mediante l’app di autenticazione oppure inserisci manualmente la chiave segreta, in modo che l’app di autenticazione possa generare gli stessi codici TOTP del server dell’account.
- Tutto pronto: hai ora configurato l’app di autenticazione come metodo di MFA per il tuo account. La prossima volta che proverai ad accedere al tuo account, dovrai utilizzare la TOTP della tua app di autenticazione per accedere. Dovrai ripetere i passaggi 3 e 4 ogni volta che cerchi di configurare l’MFA per gli altri tuoi account.
Come i password manager proteggono i tuoi account grazie alla 2FA integrata
Sebbene utilizzare l’autenticazione SMS sia meglio che non abilitare affatto l’MFA, utilizza un’app di autenticazione piuttosto che l’autenticazione SMS perché è più sicura. Le app di autenticazione sono convenienti, sicure e gratuite, il che le rende un’opzione migliore per l’MFA.
Potresti essere in grado di utilizzare un password manager come metodo MFA. Alcuni password manager hanno un’app di autenticazione integrata per generare e memorizzare i codici 2FA per i tuoi account. Utilizzando un password manager, sarà più facile accedere ai tuoi account poiché potrai accedere alle tue credenziali di accesso e ai codici 2FA da qualsiasi dispositivo. Alcuni password manager offrono una funzione di riempimento automatico che riempie le tue credenziali di accesso e i codici 2FA quando cerchi di accedere.
Keeper Password Manager è dotato di un’app di autenticazione integrata, consentendoti di generare codici 2FA ogni volta che cerchi di accedere ai tuoi account. Inoltre, dispone della funzionalità KeeperFill, che riempie automaticamente le tue credenziali di accesso e i codici 2FA ogni volta che cerchi di accedere ai tuoi account. Iscriviti per una prova gratuita e proteggi i tuoi account con una MFA forte.