È uno dei metodi ritenuti migliori per evitare che qualcuno possa penetrare all’interno dei nostri account, rubando informazioni importanti che potrebbero mettere a repentaglio diversi aspetti della quotidianità. Ecco perché l’autenticazione a due fattori sta diventando uno standard in fatto di sicurezza informatica. Un dubbio però rimane da dipanare: è sempre sicura?
Perciò spesso si punta a riciclare le password, con il rischio di lasciare a disposizione dei cybercriminali la porta aperta su servizi a cui accedere con facilità.
Comunemente, si tende a scegliere combinazioni semplici, recuperabili da chi ha una minima conoscenza della nostra vita (o un buon programma per individuare serie alfanumeriche). Questi due fattori, se combinati, diventano più potenti di qualsiasi data breach diffuso sul dark web. Anzi, sono proprio queste chiavi, a volte impostate inconsapevolmente da più utenti (quanti, sinceramente, utilizzano “password” o “12345” come codici di sblocco?) a rimpinguare i database da cui i malfattori attingono per gli attacchi brute force sui login. Tanti tentativi, a colpi di parole banali, per loggarsi in aree riservate che possono condurre a dati sulla salute, riferimenti bancari e potenzialmente molto altro che, di norma, dovrebbe rimanere segreto.
È una condizione, questa, che aggiunge un impedimento ulteriore da scavalcare. Che si tratti di una memoria usb, uno smartphone o un generatore di codici, il dispositivo richiede una combinazione per procedere alla generazione di una seconda, comunicandola poi sfruttando il Bluetooth, una connessione Usb o semplicemente l'aggiunta tramite tastiera. Di conseguenza, un attacco brute force deve necessariamente bloccarsi, seppur conoscendo i due elementi principali, visto che con difficoltà sarebbe in grado di recuperare il terzo elemento della trinità della cybersecurity.
Intercettando i codici e dirottandoli sui propri device, i criminali tecnologici accedono al codice (il “secondo fattore” dopo la password iniziale) e fanno tesoro dell’informazione per entrare nell’account, rubandone i dati custoditi o effettuando operazioni illegali. Affidarsi agli SMS, quindi, potrebbe non essere il metodo migliore, sebbene siano occorrenze saltuarie poiché che mettere in campo pari tecnologie c’è bisogno di gruppi altamente specializzati (e ricompense gustose all’orizzonte).
A questi, inoltre, si aggiungono metodi più immediati: è sufficiente fingersi i proprietari del profilo con il provider telefonico o trarre vantaggio dai servizi che permettono il reindirizzamento dei messaggi per carpire, in pochi istanti, tali dettagli.
Sono attacchi estremamente mirati, sfruttati in casi particolari e che nel quotidiano difficilmente avvengono. Meglio tenersi in allerta. Più diffusi sono i pericoli rappresentati dal phishing o dal typosquatting, ovvero reindirizzamenti verso url che simulano un altro indirizzo famoso e sicuro (g00gle.com invece di google.com, per esempio). Inserire le informazioni in una pagina simile, vuol dire addio alle proprie credenziali; correre ai ripari è fondamentale, indipendentemente dai fattori di sicurezza integrati nel login.
Per quanto le ragioni contrarie l’uso di questo particolare mix di elementi possano far desistere dalla scelta, l’autenticazione a due fattori andrebbe adottata senza indugio laddove è possibile farlo. Ogni tentativo, se intercettato da tale processo, risulta più complesso e offre un margine più ampio di difesa paragonato alla password semplice. E poi è un forte deterrente per i cybercriminali meno esperti, soprattutto se non si ricoprono cariche di alto rilievo o si conservano segreti particolarmente allettanti, rispetto a quelli che solitamente miriamo a proteggere a colpi di privacy. Imbattibile? No. Affidabile, certo.