L'autenticazione a più fattori si verifica quando un servizio richiede un passaggio aggiuntivo per autenticarti durante l'accesso oltre al semplice nome utente e password. Questo potrebbe assumere la forma di un messaggio di testo, un codice generato da un'app, una notifica push, un dispositivo hardware o persino un'autenticazione biometrica.

Esistono molteplici fattori di autenticazione , ma questo sito affronta i due più comuni: qualcosa che conosci e qualcosa che hai. Qualcosa che conosci è il nome utente e la password, mentre qualcosa che hai è in genere il codice a sei cifre che hai sul tuo dispositivo o un token hardware (discusso più avanti). Quando sono richieste solo due forme di autenticazione, si parla di autenticazione a "due fattori" (spesso abbreviata in 2FA). Quando sono richieste più di due forme di autenticazione, si tratta di autenticazione "a più fattori" o MFA. Tecnicamente tutti i 2FA sono MFA, ma non tutti gli MFA sono 2FA.

Secondo Microsoft , questa tecnica può bloccare fino al 99,9% degli accessi non autorizzati agli account. Con MFA abilitato, anche se un utente malintenzionato ottiene il tuo nome utente e password, non sarebbe comunque in grado di accedere senza il token.

Quando scegli una soluzione MFA, assicurati di scegliere qualcosa che utilizzerai in modo coerente. Ad esempio, se hai bisogno della possibilità di accedere al tuo account da qualsiasi computer in qualsiasi momento, una chiave hardware potrebbe non essere conveniente per te. Dovresti anche evitare SMS 2FA quando possibile perché è relativamente facile per un utente malintenzionato rubare il tuo numero di telefono e ricevere il testo 2FA in arrivo. Usa SMS se nient'altro è disponibile, ma usa qualcosa di meglio se hai l'opzione. L'ordine dei metodi 2FA consigliati dal più forte al più debole è costituito da chiavi hardware, app software, notifiche push, SMS/e-mail. Le app software saranno il punto debole per la maggior parte delle persone.

Prodotto/servizio	Pro	Contro
Elencati in ordine alfabetico, non in ordine di raccomandazione
Aegis Authenticator	Disponibile su F-Droid	Solo Android La crittografia del Vault non è attiva per impostazione predefinita, deve essere abilitata
andOTP	Disponibile su F-Droid La crittografia è automatica	Solo Android
Raivo OTP	La crittografia è automatica	Solo iOS La funzione di accesso è obbligatoria

Per la maggior parte delle persone, le app software forniranno la migliore combinazione di sicurezza e praticità. Tuttavia, per coloro che richiedono una protezione aggiuntiva esistono molte chiavi hardware che forniscono la massima protezione con costi e sforzi aggiuntivi molto ridotti. I token hardware sono dispositivi fisici che si collegano al computer tramite USB. Se un account è configurato per utilizzare un token hardware, il dispositivo deve essere collegato anziché inserire un codice. Sono una sicurezza aggiuntiva quasi perfetta perché non possono essere dirottati da remoto come fanno le altre chiavi, ma non sono molto resistenti e potrebbero non essere una buona scelta per un laptop o per chi viaggia molto. Alcune delle chiavi hardware più comuni e consigliate includono OnlyKey e Yubikey . Le opzioni meno comuni ma open source includono LibremKey, NitroKey e SoloKey .

Come accennato in precedenza, ci sono molte forme di autenticazione aggiuntive, tra cui qualcosa che sei (identificazione biometrica come impronte digitali o scansioni dell'iride) e da qualche parte in cui ti trovi (un sito Web che richiede che il tuo indirizzo IP corrisponda alla tua area di residenza o lavoro, ad esempio). Personalmente, non consiglio di utilizzarli quando l'opzione esiste per vari motivi. Fattori come da qualche parte in cui ti trovi possono essere altamente invasivi e ostacolare altre strategie per la privacy che consiglio, come l'uso di una VPN . Qualcosa che seiè ampiamente considerato sicuro perché le risorse necessarie per falsificare l'identità biometrica di una persona sono in genere intense e riservate solo alle minacce di alto livello. Tuttavia, vale la pena notare che storicamente questo tipo di cose diventa meno difficile nel tempo e se le tue informazioni biometriche vengono trapelate , non puoi cambiarle allo stesso modo in cui puoi cambiare una password o una chiave OTP (token software/hardware). Come ho detto prima, la cosa più importante è che trovi una soluzione 2FA che utilizzerai in modo coerente, quindi se queste sono le uniche soluzioni che funzionano per te, le consiglierei, tuttavia ti incoraggerei ad attenersi a qualcosa hai quando possibile. (È comunque il più ampiamente supportato.)

L'autenticazione a più fattori può in genere essere abilitata nelle impostazioni "Sicurezza" del tuo account, anche se a volte potrebbe essere in un'impostazione simile ma diversa come "Accesso" o "Account". A volte ha anche altri nomi come "accesso in due passaggi" o "App Authenticator". Alcuni siti Web elencheranno esplicitamente Google Authenticator, ma qualsiasi app a due fattori elencata qui funzionerà. Ti suggerisco di interrompere immediatamente ciò che stai facendo e abilitare l'AMF per i tuoi account più critici. Conti bancari, e-mail e altri conti senza i quali non puoi permetterti di vivere. Fallo subito prima di fare qualsiasi altra cosa.

Per il resto dei tuoi account, ti consiglio di abilitare l'AMF "as you go". Ciò significa che abiliti in base all'account mentre accedi o lo usi. Ad esempio, la prossima volta che accedi a eBay, abilita l'autenticazione a più fattori. Quindi, la prossima volta che accedi a Discord, abilita MFA. Col tempo ogni account avrà una password unica e sicura.

La maggior parte dei siti ha un'opzione durante la seconda schermata di accesso per "ricordare questo dispositivo per 30 giorni" o qualcosa di simile. Ciò ti manterrà connesso senza richiedere il tuo codice MFA per il periodo di tempo indicato. In passato l'ho consigliato con alcuni avvertimenti, ma non lo consiglio più a causa dell'aumento del malware che può rubare i cookie di autenticazione , consentendo a un utente malintenzionato di bypassare completamente il processo di accesso. L'accesso ogni volta non ti proteggerà completamente da questo tipo di attacco, ma può potenzialmente impedire a un utente malintenzionato di rubare ogni singolo cookie dell'account anziché solo quelli a cui hai effettuato l'accesso mentre il tuo dispositivo è stato infettato.

Quando ti iscrivi a MFA, la maggior parte dei siti ti emette codici di backup. Assicurati di annotarli in un posto sicuro nel caso in cui perdessi il tuo dispositivo MFA. Ti consiglio di salvarli nella sezione note del tuo password manager , ma fai attenzione che questo potenzialmente crea un singolo punto di errore. Assicurati di prendere ulteriori precauzioni se lo fai.

Alcuni gestori di password offrono la possibilità di memorizzare la chiave MFA per rendere più conveniente il processo di accesso. Questo può essere utile, ma proprio come con il salvataggio dei codici di backup, stai creando un singolo punto di errore. Assicurati di prendere ulteriori precauzioni se questo è il percorso che decidi di intraprendere.

Se si utilizza un token hardware, consiglio di acquistare due copie e di conservare la seconda in un luogo sicuro come backup nel caso in cui la prima si rompa. Proprio come con altri tipi di backup dei dati, assicurati di mantenerli regolarmente aggiornati.

2FA Directory è un sito Web utile per vedere se i servizi che utilizzi o stai considerando di utilizzare consentono l'autenticazione a due fattori e di che tipo.