Scroll to top

Autenticazione multi-fattore, valutiamo insieme i pro e i contro

Ancora una volta affrontiamo una tematica che riguarda la sicurezza informatica, questa volta parleremo di autenticazione multi-fattore.

Iniziamo col definire più nel dettaglio questo concetto.

Si tratta di un metodo di autenticazione che si basa sull’utilizzo congiunto di due metodi di autenticazione individuale.
L’identità di un utente remoto è generalmente verificata attraverso due funzionalità di sicurezza principali: l’identificazione e l’autenticazione
La prima è la fase in cui l’utente dichiara la propria identità al sistema, mentre la seconda si riferisce alla tecnica con cui tale identità viene verificata. (Fonte: Wikipedia)

Ora che il concetto è più chiaro passiamo al vaglio le diverse tipologie di autenticazione multi-fattore, quindi analizziamo la sicurezza.

Ci sono diverse soluzioni di autenticazione multi-fattore, ne elencheremo alcune di seguito.

  1. SMS on-time password (OTP): in questo caso il secondo fattore di autenticazione è un sms che arriva quasi istantaneamente una volta eseguita l’identificazione da parte dell’utente.
    Quindi si presume che solo il proprietario del telefono possa ricevere il messaggio con il codice a 6 cifre. In realtà non è proprio così, un malintenzionato può facilmente clonare la sim attraverso un malware, quindi ricevere il messaggio e in fine violare l’account. Oppure può sfruttare la vulnerabilità della rete mobile per reindirizzare il codice ad una sim secondaria.
  2. Token hardware: si tratta di un piccolo dispositivo munito di un display che trasmette un codice temporaneo nel momento in cui viene attivato.
    Questa volta non ci sono dei veri e propri rischi in termini di sicurezza, ma più che altro di praticità. Per esempio l’utente deve sempre portare con se il dispositivo, inoltre sono tipologie di hardware molto costosi.autenticazione_due-passaggi
  3. Token Mobili: il principio è simile a quello della versione hardware, ma in modalità app. Il vantaggio è che l’utente non deve sempre portare con se il dispositivo, ma può semplicemente richiedere il codice attraverso l’applicazione installata su smartphone.
    Lo svantaggio?  La chiave d’accesso viene fornita attraverso un QR code, quindi una persona che riesce ad ottenerne una copia avrà libero accesso all’account.
  4. Token di autenticazione push: anche in questo caso l’utente riceverà un sms subito dopo la fase di identificazione, ma a differenza del OTP, il codice verrà letto automaticamente solo dall’applicazione per cui viene generato il codice stesso. Anche qui il rischio è che possano esserci imitazioni del messaggio e che di conseguenza venga violato l’accesso.

In conclusione, come abbiamo visto, ci sono diverse tipologie di autenticazione multi-fattore. Il nostro consiglio è quello di valutare bene i pro e contro di ognuna al fine di scegliere quella più funzionale, ma anche sicura.

Noi riteniamo che la mancanza di formazione o informazione in materia possa essere un svantaggio nel momento della scelta, proprio per questo consigliamo di rivolgersi a dei professionisti. Una persona con esperienze tecniche vi può spiegare al meglio ogni tipologia di autenticazione multi-fattore inoltre può consigliare la soluzione migliore ad ogni esigenza.

Se volete approfondire l’argomento con un nostro tecnico, contattateci ad info@sies.it.