L’autorizzazione a due fattori è davvero sicura? Non sempre, ecco perché

Nell'era digitale, l'autenticazione multifattore (MFA) si rivela essenziale per proteggere l'accesso agli account. Questa metodologia, nonostante la varietà di opzioni disponibili, si adatta alle diverse esigenze, contesti operativi e bilancia la sicurezza con la praticità. La scelta del metodo più sicuro e adeguato dipende dalle specifiche necessità di ciascun utente. Ad esempio, l'antica coppia "login-password" è spesso impiegata per l'accesso a siti e-commerce, mentre sistemi più sofisticati come SPID (Sistema Pubblico di Identità Digitale) o CIE (Carta d'Identità Elettronica) sono richiesti per servizi che necessitano un'identificazione legale dell'utente.

La praticità e la facilità di registrazione giocano un ruolo cruciale nella scelta di un sistema di autenticazione. In generale, più un sistema è semplice da usare, più è adottato, a meno che non si sia obbligati a utilizzare un metodo specifico. Tra i vari sistemi di autenticazione multifattore, troviamo i seguenti, come indicato da Oplon Networks, società italiana di ingegneria informatica fondata nel 2010:

1. Login + Password + Email: Si tratta di un metodo non considerato "forte", ma utile per l'accesso a contenuti non riservati. La sua semplicità lo rende popolare, nonostante la sua debole sicurezza.
2. Login + Password + SMS: Questo metodo presenta diverse criticità, tra cui la necessità di divulgare un numero di telefono personale e i costi associati all'invio di SMS.
3. Login + Password + Autenticazione TOTP: Molto diffuso per la sua semplicità, il TOTP (Time-based One-Time Password) fornisce un buon livello di sicurezza. A tal proposito Oplon Networks ha sviluppato la propria App che permette di autenticarsi a tutti i servizi che richiedono il doppio fattore di autenticazione (per es. Amazon, Microsoft, ecc…) senza la necessità di alcuna registrazione e senza alcuna connessione internet garantendo quindi il massimo livello di privacy e riservatezza. La soluzione è disponibile gratuitamente in tutti i digital store sia per dispositivi IOS che Android.
4. Login + Password + Autenticazione SPID: SPID è un'eccellenza tecnologica italiana che garantisce un'autenticazione forte, nonostante possa essere macchinoso da utilizzare.
5. Login + Password + Autenticazione CIE: Simile a SPID, ma legato alla Carta di Identità Elettronica, è un sistema di identità unico a livello europeo.
6. Autenticazione con Certificato Digitale (file o Badge/Pendrive): Offre elevati standard di sicurezza, ma con alcune limitazioni pratiche.
7. Sistemi Password-less: Eliminano la necessità di una password, offrendo un'alternativa innovativa e sicura.
8. Applicazione Oplon 2FA: Fornisce un equilibrio tra sicurezza e praticità, utilizzando la biometria e la tecnologia senza notifiche.

La biometria, una delle pietre miliari della sicurezza digitale, si presenta con sfumature complesse. Prendendo in esame il riconoscimento biometrico tramite impronte digitali, emerge un'interessante peculiarità: la possibilità di registrare più impronte su uno stesso dispositivo. Questo significa che, oltre al proprietario, altre persone - come parenti o amici - possono accedere al telefono e alle app se le loro impronte sono state registrate in anticipo. Il risultato? La capacità di sbloccare il telefono e le app da parte di più utenti, a seconda del numero di impronte registrate.

Questa possibilità diventa particolarmente rilevante quando si considerano procedure che richiedono autenticazione biometrica ma si desidera delegare l'accesso a terzi. La responsabilità legale, tuttavia, rimane saldamente nelle mani del proprietario dell'identità che ha autorizzato l'associazione delle diverse impronte. Il riconoscimento facciale e vocale, d'altra parte, si scontra con le sfide poste dall'hacking e dai sistemi di intelligenza artificiale generativa. Queste tecnologie avanzano rapidamente, ampliando il rischio che chiunque possa diventare un hacker potenziale.

Per quanto riguarda le notifiche su smartphone, l'efficacia varia in base alla progettazione delle app. Alcune app utilizzano le notifiche in modo efficace, mentre altre presentano inconvenienti come la perdita di notifiche o la necessità di ripetere operazioni, creando frustrazione. Fondamentale è riconoscere che affidare operazioni importanti esclusivamente a notifiche comporta rischi, legando l'utente a un ulteriore fornitore e introducendo potenziali disservizi.

In conclusione, i sistemi MFA definiti "forti" possono assicurare che nessuno utilizzi il proprio profilo in modo fraudolento senza l'autorizzazione del proprietario. Tuttavia, nessun sistema è inattaccabile: la possibilità di "deleghe occulte" e la "complicità" del proprietario legittimo possono sempre permettere l'accesso indesiderato, lasciando la responsabilità legale per le operazioni effettuate. Oplon Networks, conscia di questi limiti, continua a esplorare e a sviluppare soluzioni alternative o migliorative. L'obiettivo è garantire la massima sicurezza agli utenti, educandoli sulle opportunità e sui limiti delle tecnologie, per ridurre al minimo gli errori e ottimizzare l'uso sicuro delle stesse.