Autenticazione a più fattori e verifica in due passaggi

Da SIGLAkb.

Autenticazione a più fattori e verifica in due passaggi, cosa sono?

Per aumentare il livello di sicurezza nell'accesso ai servizi occorre aggiornare il sistema di autenticazione aggiungendo al classico controllo utente/password anche un'ulteriore verifica.

In generale, per poter accedere ad una risorsa protetta un utente deve identificarsi e autenticarsi.

L’identificazione avviene attraverso il nome utente mentre l’autenticazione è il processo con il quale l’utente dimostra la propria identità (inserendo, ad esempio, una parola chiave che solo lui conosce). Il metodo di autenticazione più sicuro si basa sull’utilizzo di uno o più elementi aggiuntivi che si affiancano al nome utente e alla corrispondente password.

Questa tecnica prevede di utilizzare più fattori:

  • una cosa che conosci (ad esempio la password);
  • una cosa che hai (ad esempio un cellulare o una smart card);
  • una cosa che sei (ad esempio l’impronta digitale).

L'autenticazione a due fattori (2FA, acronimo del termine inglese Two Factor Authentication) è il metodo di autenticazione che i sistemi informatici utilizzano con maggiore frequenza. Questo metodo prevede l'impiego di due metodi invece che uno. All’inserimento della password si affianca il controllo dell'impronta digitale, oppure la lettura di una smart card o l’inserimento di un PIN ricevuto come SMS sul proprio cellulare.

L'autenticazione a due fattori protegge in modo efficace l'account perché introduce un ulteriore livello di sicurezza: per poter violare l'account non è più sufficiente riuscire a indovinare la password.

Figura 1: Autenticazione/Verifica in 2 passaggi

Un metodo simile è la verifica in due passaggi (2SV acronimo del termine inglese Two Steps Verification) che però utilizza due fattori di autenticazione appartenenti alla stessa categoria: dopo l’inserimento della password viene richiesto un ulteriore codice di sicurezza (che, di fatto, è anch'esso una password).

Questo secondo codice di sicurezza può essere fornito in diversi modi e uno dei più diffusi ed economici si basa sull'impiego di apposite applicazioni per smartphone come Microsoft Authenticator, Google Authenticator o Aegis Authenticator. Queste applicazioni generano un codice OTP (One Time Password) che ha una validità temporale limitata.

Queste applicazioni generano il codice OTP in base ad un algoritmo standard TOTP (Time-based One Time Password) pubblicato nel 2011 nel documento RFC 6238. Questo algoritmo a partire da una chiave segreta ed una marca temporale, attraverso un processo crittografico genera la password monouso. Ovviamente la chiave segreta è associata ai dati dell'utente alla stregua della password ed è conosciuta dall'utente perché la utilizza per configurare l'app.

Normalmente queste applicazioni consentono di aumentare il livello di sicurezza della verifica in due passaggi perché sono eseguite dallo smartphone dell'utente e possono richiedere l'inserimento di un PIN o il riconoscimento dell'impronta digitale per essere sbloccate.

Il secondo elemento di verifica è comunque un codice come la stessa password e non un dispositivo (una cosa che hai) o un dato biometrico (una cosa che sei).

Per questo motivo la verifica in due passaggi è meno sicura dell'autenticazione a due fattori, pur aumentando considerevolmente la sicurezza della validazione della sola password.

Verifica in due passaggi in SIGLA

L'impiego della verifica in due passaggi permette di aumentare il livello di sicurezza nell'accesso alle nostre applicazioni, esigenza, questa, divenuta sempre più pressante oggigiorno ed in linea con la tendenza dei maggiori fornitori di servizi online. I principali player nazionali ed internazionali stanno progressivamente introducendo questo tipo di verifiche nell'accesso ai propri servizi nell'intento di rendere meno vulnerabili i propri sistemi di autenticazione.

Una volta che la verifica in due passaggi è stata attivata per l'utente, successivamente all'immissione della password SIGLA prevede che sia inserito anche un ulteriore pin numerico (codice OTP) generato da un'applicazione eseguita nello smartphone dell’utente.


Figura 2: Verifica in 2 passaggi in SIGLA


Le applicazioni per smartphone utilizzabili per generare il codice OTP sono tutte quelle che implementano l'algoritmo standard TOTP, come ad esempio Microsoft Authenticator, Google Authenticator o Aegis Authenticator.

Al momento dell'attivazione della verifica in due passaggi per l'utente, verrà creata una chiave segreta univoca che deve essere utilizzata per configurare la generazione del codice OTP nell'applicazione per smartphone.

Per facilitare questa impostazione, SIGLA creerà, sulla base della chiave segreta generata, un QRCode che fotografato dall'app dello smartphone eseguirà automaticamente la configurazione del generatore di codici OTP.

Figura 3: Configurazione generatore OTP


Queste applicazioni, inoltre, come ulteriore livello di sicurezza permettono di limitare l'accesso alle proprie funzioni richiedendo lo sblocco tramite digitazione di un PIN o il riconoscimento dell'impronta digitale.

Bibliografia

Estratto da "https://www.deltaphi.it/siglakb/index.php?title=Autenticazione_a_più_fattori_e_verifica_in_due_passaggi&oldid=5352"