L’importanza di implementare metodi di autenticazione sicuri sui siti Web è più cruciale che mai. Senza le giuste misure di sicurezza gli account dei tuoi utenti potrebbero essere facilmente compromessi e, di conseguenza, le informazioni sensibili come le carte di credito degli utenti, le informazioni di contatto e molto altro potrebbero essere copiate dai criminali informatici.
1. Che cos’è l’autenticazione a due fattori?
L’autenticazione a due fattori, o verifica a più fattori o 2FA, è un passaggio aggiuntivo nel processo di accesso al sito web che richiede agli utenti di presentare un’informazione che solo l’utente dovrebbe avere.
Questa “informazione” può essere un passcode monouso, un token fisico, un’impronta digitale che funge da seconda conferma per verificare la vera identità del proprietario dell’account.
L’autenticazione a due o più fattori richiede che l’utente disponga di:
• fattori di conoscenza. Un nome utente e una password;
• fattori di possesso; qualcosa che ha solo l’utente: un passcode inviato al cellulare (SMS), all’e-mail o all’app di autenticazione;
• fattori intrinseci; fattori propri dell’utente e di solito sono metodi biometrici, tra cui il riconoscimento dell’impronta digitale, del viso, della voce o dell’iride;
• fattori di posizione; un ulteriore fattore riguarda la posizione fisica dell’utente accertata tramite il GPS del dispositivo o dalla rete dal quale è collegato, quest’ultimo fattore viene verificato tramite IP e può essere applicato, ad esempio, ai lavoratori presenti in azienda.
Nella procedura di accesso standard un utente può accedere al proprio account inserendo un nome utente e una password senza ulteriori passaggi richiesti. Tuttavia, nell’autenticazione a due o più fattori, l’utente deve completare almeno un ulteriore passaggio di conferma.
L’autenticazione a due fattori esiste da tempo e, senza accorgertene, la utilizzi frequentemente per prelevare denaro contante tramite bancomat dove i due fattori sono: il possesso della carta e la conoscenza del PIN.
2. Come funziona l’autenticazione a due fattori?
A seconda delle esigenze specifiche del tuo sito web, potresti decidere di voler implementare l’autenticazione a due fattori come passaggio obbligatorio per ogni tentativo di accesso o solo per alcune condizioni decise da te. Ad esempio, puoi richiedere un ulteriore fattore di autenticazione solo agli utenti che accedono da un dispositivo non riconosciuto o da un luogo insolito.
Le fasi del processo di autenticazione a due fattori:
- Si inizia dalla schermata di accesso (Login) del sito web per inserire il tuo nome utente e password per richiedere l’accesso al tuo account.
- Se hai abilitato l’autenticazione a due fattori il sistema ti chiederà un ulteriore passaggio di verifica per assicurarsi che tu sia il legittimo proprietario, quindi ti verrà inviato un codice (passcode) tramite SMS al numero di telefono che hai fornito al momento dell’iscrizione. Durante questo periodo, verrai indirizzato a una seconda schermata di accesso che ti chiederà di inserire il codice.
- Una volta inserito il codice di accesso, il sistema verificherà che il codice inserito sia lo stesso che ti è stato inviato e, se c’è una corrispondenza, sarai in grado di accedere al tuo account.
- Pagina di benvenuto o pagina richiesta.
3. Perché i siti web dovrebbero utilizzare l’autenticazione a due fattori?
Ogni giorno decine di migliaia di siti web vengono compromessi dagli hacker penetrando nel database (in questo caso viene compromesso l’intero sito) o solo alcuni account del sito perché non sono state utilizzate password complesse e aggiungere un altro livello di sicurezza rende inefficaci le credenziali copiate dai criminali. Ricorda che dopo una violazione degli account del tuo sito web è buona norma fare rinnovare le password agli iscritti.
L’autenticazione a due fattori può essere implementata anche sugli account interni della tua azienda così da rendere più sicuri gli account dei tuoi dipendenti da dove giornalmente gestiscono i vari progetti.
4. Quali tipi di autenticazione a due fattori si possono implementare sui siti web?
Le aziende hanno diverse opzioni di autenticazione a due fattori tra cui scegliere e la scelta della soluzione migliore dipenderà dalle esigenze della tua organizzazione.
Analizziamo tre diversi tipi di ulteriore verifica dopo l’accesso con username e password:
Il completamento di un’autenticazione a due fattori tramite l’invio di una email può essere il metodo più semplice perché oggigiorno l’email, per chi richiede l’accesso a un sito web, è usata da tutti.
In meccanismo di autenticazione è semplice: dopo che gli utenti hanno inserito le credenziali, verrà inviata loro un’email. In genere, l’e-mail include un codice che l’utente deve inserire nel sito web oppure un collegamento che consente all’utente di accedere al proprio account.
SMS
Avrete sentito parlare molto del processo di autenticazione a due fattori con SMS perché è uno dei tipi più utilizzati. L’invio di un codice tramite messaggio di testo è un ottimo modo per garantire che la persona che richiede l’accesso all’account sia un utente autorizzato poiché sarebbe difficile per un hacker possedere il telefono dell’utente.
L’autenticazione a due fattori con SMS è sicura ed è ampiamente utilizzata ma richiede il servizio di telefonia mobile da parte dell’utente.
App di autenticazione
Le app di autenticazione funzionano in modo simile all’autenticazione a due fattori con SMS e invece di ricevere il passcode sul cellulare tramite sms, verrà generato localmente sullo smartphone dall’applicazione stessa usando una chiave che all’atto dell’installazione era stata condivisa col web server.
Subito dopo avere generato il codice dall’app di autenticazione dovrai inserirlo immediatamente nella pagina successiva alla richiesta delle credenziali “username” e “password” da parte del sito web.
Il vantaggio dell’utilizzo di un’applicazione di autenticazione rispetto agli SMS è evidente: l’utente non necessita della rete di comunicazione cellulare.
5. In che modo si può implementare su un sito web l’autenticazione a due fattori?
L’autenticazione a due fattori nel login del tuo sito web può essere implementata installando dei semplici plugin, altre volte bisogna sviluppare l’implementazione ricorrendo a diverse ore di lavoro di un tecnico per la scrittura del nuovo codice sorgente.