authshield-sms1

Cosa significa “autenticazione a due fattori”? detta anche 2FA o 2SV o MFA?

Per autenticazione a due fattori si intende una tecnologia che utilizza una combinazione di due elementi segreti diversi.

Per chiarire:

Un login con username e password usa un fattore segreto.

Un login con username, password e un codice ricevuto in sms utilizza due fattori segreti.

Non si sa l’esatta origine dell’autenticazione a due fattori. A me piace immaginare che sia nata per opera di qualche burlone e che qualcun’altro poi l’abbia preso sul serio.

La prima datazione ufficiale rimanda ad un brevetto americano del 1984. Poichè internet ed i telefoni cellulari erano agli albori si trattava di un dispositivo capace di generare codici pseudocasuali basati sull’orario.

Si immaginava un dispositivo che, una volta impostato con un codice iniziale, avrebbe sempre restituito lo stesso valore su ogni dispositivo con il medesimo codice iniziale nella stessa finestra temporale (ogni 30 secondi ad esempio).

Passano gli anni e Kim Dotcom brevetta questo procedimento tramite codice aggiuntivo inviato via fax o telefono nel 1998.

Usare un sistema 2FA significa barattare la semplicità con un po’ di apparente sicurezza.

Il sistema non ha mai convinto pienamente gli esperti (ad esempio Bruce Schneier) e si sta diffondendo solo perchè una apparente sicurezza sembra meglio di niente.

Riassumendo

Usare un sistema 2FA vuol dire che il proprietario dell’infrastruttura sa benissimo che l’utente userà una password ridicola ma non può chiedere ai suoi utenti di usare delle password adatte per vari motivi tra cui:

  1. Il call center/help desk verrebbe intasato di richieste di recupero password
  2. Il servizio sarebbe più difficile da utilizzare e gli utenti potrebbero andare altrove

Il messaggio è questo: La tua password fa schifo, tu mettila comunque, poi io te ne invio una seconda (al dispositivo che mi hai detto tu) e tu me la ripeti.

Rimanendo seri per un attimo si capisce come questo sistema serve “solo” ad evitare che amici e parenti curiosi possano indovinare la propria password.

Qualsiasi sistema 2FA non serve ad eliminare il pericolo di data-breaches e non elimina completamente pericoli dovuti a keylogger o virus installati sulla propria macchina.