L'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede agli utenti di fornire più credenziali per accedere a un sistema o servizio. Questo può includere una password, un codice di verifica inviato al telefono dell'utente o un dispositivo fisico come un token di sicurezza.
L'2FA è un modo efficace per proteggere le tue informazioni e i tuoi dati da accessi non autorizzati. Può essere utilizzato per una varietà di scopi, tra cui l'accesso a conti bancari, e-mail e social media.
In un mondo digitale sempre più interconnesso, la protezione dei dati sensibili è diventata una priorità assoluta. L'autenticazione a doppio fattore (2FA) si presenta come una delle soluzioni più efficaci per contrastare le minacce informatiche.
Scopri in questo articolo come implementare e aggiungere l'autenticazione a doppio fattore ai tuoi servizi e applicazioni software.
Cos'è la 2FA?
Breve introduzione a cos'è la 2FA e cosa comporta.
L'2FA è un meccanismo di sicurezza che richiede agli utenti di fornire più credenziali per accedere a un sistema o un servizio.
A differenza della tradizionale autenticazione basata solo su nome utente e password, l'2FA introduce un ulteriore livello di verifica, che può essere:
- Qualcosa che si conosce (es. Password, PIN, risposte a domande di sicurezza, ecc.).
- Qualcosa che si possiede (es. Smartphone, token di sicurezza, smart card, ecc.).
- Qualcosa che rappresenta l'utente (es. Impronte digitali, riconoscimento facciale, scansione dell'iride, ecc.).
Chi deve implementare l'autenticazione 2FA e la conformità alla NIS2?
La NIS2 è una direttiva dell'Unione Europea che richiede alle aziende di implementare misure di sicurezza, una di queste è l'autenticazione multifattore (2FA).
La NIS2 (Direttiva sulla sicurezza delle reti e dei sistemi informativi) è una direttiva dell'Unione Europea che richiede alle aziende di implementare misure di sicurezza per proteggere i loro dati e le loro informazioni. Una di queste misure è l'autenticazione a doppio fattore.
La NIS2 si applica a una vasta gamma di aziende, tra cui banche, assicurazioni, ospedali e aziende di servizi pubblici. Le aziende che non rispettano la NIS2 possono essere soggette a sanzioni significative.
Una soluzione 2FA può essere attaccata?
Anche se la sicurezza 2FA è un considerevole miglioramento, può essere presa di mira dagli attacchi informatici per ottenere accessi non autorizzati.
Sostanzialmente si, esistono delle tecniche di phishing in grado di "mascherare" le interfacce di autenticazione e gestire il transito delle credenziali inserite dall'utente. In questo modo, ad autenticazione completa, l'attaccante avrà accesso ai token di sicurezza per accedere al sistema.
Per ovviare a questo problema è essenziale prevedere un'autenticazione che riconosca il client (es. FIDO2). In questo modo, l'attaccante non potrà sfruttare le credenziali di accesso.
In ogni caso è importante sottolineare che l'unica cosa che può impedire accessi indesiderati, è la capacità degli utenti stessi di capire la differenza tra una richiesta di autenticazione legittima e una progettata dall'autore di un attacco.
Nessun sistema di sicurezza è sicuro al 100%. Con l’evoluzione del mondo della cybersecurity, la sicurezza diventa sempre più intelligente, così come gli hacker e gli attacchi informatici, purtroppo.
Tipi di autenticazione MFA
Esistono diverse tecniche di MFA, scopriamo quali tra queste sono più efficaci e si adattano meglio al caso.
Configurazione dell'autenticazione a due fattori utilizzando un'app TOTP:
Un'applicazione per password temporali a tempo variabile (TOTP) genera automaticamente un codice di autenticazione che cambia dopo un certo periodo di tempo. Queste app possono essere scaricate sul tuo telefono o sul tuo computer desktop.
Configurazione dell'autenticazione a due fattori utilizzando una passkey:
Le passkey ti consentono di accedere in modo sicuro dal tuo browser senza dover inserire la password. Se utilizzi l'autenticazione a due fattori (2FA), le passkey soddisfano sia i requisiti della password che del 2FA, quindi puoi completare l'accesso con un singolo passaggio.
Configurazione dell'autenticazione a due fattori utilizzando una chiave di sicurezza:
Le chiavi di sicurezza sono dispositivi fisici che possono essere utilizzati per l'autenticazione a due fattori (2FA). A differenza delle passkey, le chiavi di sicurezza non sostituiscono la password, ma richiedono l'immissione della password in combinazione con l'uso della chiave fisica per accedere.
Come implementare la 2FA nella tua applicazione web o mobile
La scelta principale e più di immediata implementazione è l'uso di un TOPT.
L'implementazione di questa tecnica può essere fatta in più modi, per esempio esistono delle librerie PHP o Node in grado di supportare il processo di autenticazione 2FA.
Una volta scelta la libreria più conveniente e sicura, si dovrà predisporre l'applicazione al fine di gestire le seguenti fasi per abilitare il secondo fattore:
- Guidare l'utente ad una area specifica in cui potrà visualizzare un QR code per collegare l'applicazione TOTP (es. Google Authenticator).
- Indicare all'utente di scaricare l'applicazione sul proprio dispositivo e scansionare il codice QR.
- A questo punto l'applicazione mostrerà il primo token temporale, prima di attivare del tutto la 2FA è importante verificare che il codice visualizzato in app sia riconosciuto dal server.
Una volta completata la configurazione precedente, sarà possibile aggiungere in fase di login (post verifica di username e password) la richiesta del codice TOTP.
Suggerimenti:
- In fase di attivazione del token può essere utile generare dei codici di recupero da condividere con l'utente una volta sola. Questi codici potranno essere utili all'utente qualora non sia più in grado di accedere all'applicazione che mostra il codice TOTP valido.
- Nel caso di integrazione del sistema TOTP in una'pplicazione esistente, può essere utile limitare l'utente fintanto che l'autenticazione 2FA non sia stata attivata.
Fattori da considerare durante l'implementazione
L'implementazione dell'MFA può variare in base alla complessità del software e alle tecnologie utilizzate.
Fattori da considerare durante l'implementazione:
- Esperienza utente: L'MFA deve essere facile da usare e non creare eccessivo friction per gli utenti.
- Costo: Valutare i costi di implementazione e gestione delle diverse soluzioni MFA.
- Integrazione con sistemi esistenti: Assicurarsi che l'MFA si integri senza problemi con le altre applicazioni e sistemi in uso.
L'autenticazione MFA o 2FA è un metodo di sicurezza importante che può aiutare a proteggere le tue informazioni e i tuoi dati. Se sei un'azienda, è importante (e in alcuni casi obbligatorio) implementare questo tipo di autenticazione.
Se sei interessato a saperne di più sull'autenticazione a doppio o multifattore o se hai bisogno di assistenza per implementarla, contatta il team di Mostrum. Saremo lieti di offrirti tutto il supporto necessario.