Cos’è la verifica in due passaggi e perché dovresti attivarla per il tuo account

Cos’è la verifica in due passaggi e perché dovresti attivarla per il tuo account

Le password sono una misura di sicurezza debole: possono essere rubate molto facilmente e indovinarle non è un’impresa così impossibile come si crede. La soluzione? Usare più di una chiave.

Molti siti lo fanno attraverso la verifica in due passaggi (o due fasi): oltre a chiedere la password, ti inviano un codice al tuo cellulare.

In questo articolo cercherò di spiegarti nel modo più semplice possibile cos’è la verifica in due passaggi, come attivarla e cosa devi fare affinché risulti efficace.

Cos’è la verifica in due passaggi (2FA)?

Quando prelevi del denaro con la carta di credito, senza saperlo stai usando la verifica in due passaggi: devi inserire la carta (oggetto fisico, qualcosa che hai) e immettere un PIN (qualcosa che sai).

La verifica in due passaggi è esattamente questo: usare due forme di identificazione invece di una. Così, invece di utilizzare solo una password, con la verifica in due passaggi hai bisogno di una password più un codice che viene inviato al tuo cellulare.

Due fasi: prima una password, poi il codice del cellulare (fonte)

Esistono molti tipi di verifica dell’identità che possono essere combinati tra loro per ottenere una procedura in due fasi: le password, le impronte digitali, il riconoscimento facciale, il disegno di forme, i codici PIN, la posizione geografica e così via.

Come funziona la verifica in due passaggi?

Il primo passo è sempre lo stesso: devi inserire il nome utente e la password, proprio come si farebbe con il metodo normale.

La novità è la presenza di una seconda fase, in cui devi inserire un codice che ricevi sul cellulare.

Dopo aver inserito il codice, il PC, il tablet o il cellulare da cui ti connetti verrà etichettato come dispositivo di fiducia e potrai accedere senza utilizzare codici aggiuntivi.

Cosa succede se perdo il telefono o non ho copertura?

Se perdi il telefono, hai un grande problema, dal momento che i codici vengono inviati al numero che hai inserito nel tuo account. Tuttavia, se perdi il cellulare, puoi ancora:

  • accedere al tuo account tramite un computer affidabile
  • usare dei codici di riserva che hai stampato in precedenza

Se non puoi fare nessuna di queste cose, puoi solo richiedere un nuovo telefono con lo stesso numero o chiedere al sito di recuperare il tuo account, un processo che richiede solitamente un paio di giorni.

Se sei in viaggio al di fuori del tuo paese o non hai segnale, e ti serve effettuare il login con la verifica in due passaggi, puoi utilizzare delle applicazioni che generano i codici senza connessione o usare quelli che hai stampato in precedenza.

Se hai uno smartphone, ti consiglio di usare Google Authenticator (Android, iOS) o Authenticator (Windows Phone), delle applicazioni che generano i codici senza connessione così da poterli utilizzare quando sei lontano da casa.

Perché due passaggi e non tre?

Per ragioni pratiche. Nulla impedisce di utilizzare più di un sistema di verifica, ma se due possono essere scomodi, immagina cosa vuol dire utilizzarne tre o più. L’uso combinato di una password e un numero casuale generato e inviato al telefono è già utile per ridurre notevolmente il rischio di accesso non autorizzato ai tuoi account.

Quali siti usano la verifica in due passaggi?

Sono sempre di più i siti che usano la verifica in due passaggi. L’ultimo a unirsi è stato Microsoft, sulla scia di Google, Dropbox, Twitter e altri siti e applicazioni. Perché lo hanno implementato solo adesso? La domanda si risponde da sola analizzando tre fatti:

  • sempre più servizi tendono a raggrupparsi in un unico account
  • sempre più utenti dispongono di più dispositivi di accesso a internet
  • i tentativi di hacking sono più imponenti, come quello che sofferto da Twitter

Perché la verifica in due passaggi è facoltativa?

La verifica in due passaggi è facoltativa soprattutto per motivi di privacy: molti utenti non vogliono associare il proprio account a un numero di telefono. Per evitare questo ostacolo, in alcuni casi è previsto un generatore di chiavi fisico, come Authenticator Battle.net, un portachiavi che genera il codice su richiesta del proprietario.

Come si attiva la verifica in due passaggi?

Dipende dal servizio. Nella maggior parte dei casi è sufficiente entrare nel tuo profilo, andare alla sezione Account o Sicurezza e attivare l’opzione da lì. Per comodità, ho fatto un elenco dei link alle istruzioni ufficiali di ciascuno sito:

Google

Apple

Microsoft

Facebook

DropBox

La verifica in due passaggi è infallibile?

Non del tutto. Ad esempio, può succedere che il telefono associato al tuo account sia in possesso di un hacker e questo conosca anche la password. Può anche accadere che qualcuno che conosce la password possa accedere a un dispositivo di fiducia in cui non è più necessario inserire i codici di sicurezza.

I virus Trojan e il phishing sono un altro pericolo. Se un hacker riesce a farsi passare per un soggetto legittimo o riesce a intercettare i tuoi dati, sei esposto come prima. Alcuni trojan si coordinano tra loro: un Trojan nel ​​PC può modificare le richieste che fai a un sito e un trojan nel cellulare può salvare i codici di sicurezza.

Puoi minimizzare tali rischi con l’aggiunta di ulteriori livelli di protezione sui tuoi dispositivi, come antivirus efficaci e sistemi di blocco. Sebbene la verifica in due passaggi sia molto efficace nel ridurre al minimo il rischio di intrusione nel tuo account, i cattivi non sono stupidi e cercano sempre nuove tecniche per rubare i tuoi dati.

Stai già usando la verifica in due passaggi?

Leggi anche:

Guida pratica: cosa fare quando ti rubano la password

5 consigli per avere un account a prova di hacker e ficcanaso

È arrivato il momento di usare un gestore di password. Scopri perché!

[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti su Softonic ES]

Visualizzazione commenti in corso...