home / glossario / autenticazione-forte /

Autenticazione forte

1. L'autenticazione forte

L’autenticazione forte (in inglese strong authentication), nota anche come autenticazione a due fattori (2FA: two factor authentication), è oggi il sistema di protezione più sicuro per proteggere i propri account.

Dovrebbe essere utilizzata quanto più possibile, non solo per gli account bancari, ma soprattutto per tutti quegli account – personali e aziendali – nei quali si trovano dati importanti, come gli indirizzi e-mail, i servizi cloud e qualsiasi account aziendale.

In molti casi l’autenticazione avviene con la sola password: si tratta di autenticazione a un fattore.

Si parla invece di 2FA se si usano almeno due dei tre fattori qui elencati e di matrice differente (ad esempio, “conoscenza” + “possesso”):
•   conoscenza: ossia qualcosa che solo l’utente conosce (es. password statica, codice, numero identifcativo personale);
•   possesso: ossia qualcosa che solo l’utente possiede (es. token, telefono cellulare);
•   inerenza: ossia qualcosa che l’utente è (es. caratteristiche biometriche, come un’impronta digitale).

2. Come funziona

Dopo aver inserito la password (primo fattore) del proprio account, sarà richiesto di digitare un secondo fattore, che nella maggior parte dei casi è un codice numerico. Questo secondo fattore in genere viene ottenuto attraverso lo smartphone (sotto forma di sms o tramite un’apposita applicazione) o tramite un token fisico.

A differenza della password, il secondo codice è di fatto inattaccabile, perché generato in maniera pseudocasuale secondo uno specifico algoritmo ed ha una durata molto limitata nel tempo (solitamente 30 secondi). Per questo motivo, lo si definisce anche OTP: one time password.

Il secondo fattore può essere – in alternativa – di tipo biometrico (”inerenza”). Ne abbiamo un esempio nelle applicazioni per smartphone che ci forniscono le banche: per aprire l’app e anche per eseguire operazioni dispositive (ad esempio: fare un bonifico), ci viene richiesta la seconda autenticazione con l’impronta digitale o con il riconoscimento facciale.