Evita l’estinzione con l’MFA
Di recente io e la mia famiglia abbiamo inaugurato una routine settimanale composta da cena e film, in cui il menu della cena si ispira ai personaggi o all’ambientazione del film. Attualmente siamo in procinto di partire per un imminente viaggio di famiglia, ma mi auguro di continuare questa divertente routine anche al ritorno. L’euforia dei bambini che scelgono una busta tra l’entusiasmo generale per scoprire quale film guarderemo quella settimana, e la stessa attesa di mamma e papà per scoprire che tipo di cibo dovranno preparare i giorni successivi. Il divertimento delle tradizioni di famiglia… ma ora arriva la parte sulla sicurezza di questa storia.
La scorsa settimana, uno dei bambini ha scelto una busta con “Jurassic World – Il dominio” come film per la serata. La mia mente è andata rapidamente al menu che avrei dovuto assemblare (artigli di rapace al formaggio, crocchette di dinosauro, magari alette di pterodattilo) ma immagina la mia grande sorpresa, una volta iniziato a guardare il film, quando sono riuscito ad avviare una fantastica conversazione informatica con i miei figli, che sono tutti sempre più coinvolti nella tecnologia che li circonda, come molti altri studenti delle scuole elementari e medie.
Cos’è l’autenticazione a più fattori?
Jurassic World – Il dominio e la sicurezza? Certo. I dinosauri scappano dalle aree recintate in tutta l’area di Jurassic Park, ma non è il tipo di sicurezza a cui sto pensando. Senza condividere alcuno spoiler (almeno spero), c’è una scena nel film in cui Ian Malcolm consegna segretamente il suo braccialetto identificativo super tecnologico (pensa al badge identificativo che indossi al polso o se sei stato a Walt Disney World di recente, pensa a Magic Band) alla dottoressa Ellie Sattler. Ellie e il dottor Alan Grant usano quel braccialetto identificativo per entrare nell’area riservata del laboratorio, dove finiscono per rubare il DNA, dando avvio all’avventura terrificante, ma elettrizzante, per cui i film della serie Jurassic Park sono famosi.
Il punto è che, con il solo braccialetto identificativo, sono stati in grado di accedere alla parte del laboratorio chiusa ai visitatori. Non è stato chiesto loro di fornire un’impronta digitale o un codice oltre a strisciare il braccialetto identificativo (dai, anche la Disney richiede la tua impronta digitale dopo aver strisciato una Magic Band!). E, di conseguenza, sono riusciti a entrare e a rubare la proprietà di Biosyn.
Nel mondo della sicurezza informatica, ci riferiamo a questo comportamento come alla mancanza di autenticazione a più fattori (o talvolta verifica in due passaggi), chiamata anche MFA. Quando si richiede un solo tipo di identificazione, in questo caso il braccialetto identificativo, la perdita di quell’unica fonte mette a rischio gli oggetti protetti. Se si aggiunge una seconda (o terza, quarta, ecc.) forma di identificazione, come un PIN, la scansione della retina o anche la risposta a una domanda, improvvisamente si imposta un’autenticazione a più fattori e la perdita di una forma di identificazione non è rischiosa come prima.
Come funziona l’autenticazione a più fattori?
Probabilmente usi già l’autenticazione a più fattori nella tua vita quotidiana e non te ne sei reso conto. Quando accedi alla tua banca per il mobile banking, ad esempio, potresti inserire il tuo ID utente (o magari il numero di conto) e la tua password (o PIN). Ma se ti viene richiesto perché il sito non riconosce il tuo dispositivo, questa è una forma di MFA. Un dispositivo registrato, come un telefono o un personal computer, in questo caso funzionano come una seconda forma di autenticazione.
L’MFA è un approccio a più livelli alla protezione dei dati o di un’applicazione in cui un sistema richiede a un utente di presentare due o più credenziali per verificarne l’identità. Queste credenziali rientrano in una di tre diverse categorie:
- Qualcosa che conosci, come una password o la risposta a una domanda di sicurezza personale
- Qualcosa che possiedi, come un dispositivo fisico, un token hardware, un badge identificativo o la risposta a un’app sul tuo cellulare
- Qualcosa che sei, come un’impronta digitale o la scansione della retina
Nel caso del mobile banking, il dispositivo registrato rientra nella categoria “qualcosa che possiedi”.
È importante comprendere, però, che una semplice combinazione di verifiche non costituisce un’autenticazione a più fattori. Tale combinazione deve includere elementi di diverse categorie. Quindi, l’inserimento di una password e la risposta a una domanda di sicurezza, in genere, non si qualificano come autenticazione a più fattori, poiché entrambi contano come “qualcosa che conosci”. L’inserimento di una password e la successiva richiesta di un codice univoco visualizzato in un’app sul telefono si qualifica come autenticazione a più fattori, poiché coprono le categorie “qualcosa che conosci” e “qualcosa che possiedi” rispettivamente.
Tipi di autenticazione a più fattori (MFA)
Sebbene esistano diversi tipi di autenticazione a più fattori, tra i più comuni troviamo l’aggiunta di uno di questi a una password o PIN per un account:
- Notifica push tramite un’app di autenticazione riconosciuta
- Password una tantum (codice univoco che viene visualizzato per l’utilizzo una tantum ed è disponibile solo per te tramite un metodo di comunicazione univoco, come un account e-mail, un messaggio SMS sul tuo telefono o tramite la tua app mobile)
- Token a due fattori (token fisico che puoi collegare o da cui estrarre un codice)
- Dati biometrici (come un’impronta digitale, una verifica facciale o una scansione della retina)
Quindi perché è importante? Se Biosyn avesse richiesto la verifica facciale dopo l’utilizzo del badge identificativo, Ellie e Alan non sarebbero entrati nella parte riservata del laboratorio. Se un malintenzionato ruba il tuo nome utente e la tua password, non può proseguire nei sistemi in cui è previsto anche l’inserimento di un codice monouso inviato al tuo telefono cellulare.
La ripetizione dell’MFA è fondamentale
Molti sistemi ora offrono ai propri utenti l’MFA. Se le prime volte può sembrare un passaggio in più nel processo, la realtà è che più lo si usa, più diventa un riflesso incondizionato e smette di sembrare un passaggio extra. Quel piccolo passo per aggiungere un ulteriore metodo di verifica può fare la differenza tra l’accesso o meno dei paleontologi al laboratorio segreto di ricerca sugli insetti. Naturalmente, in Jurassic World – Il dominio, il fatto che il laboratorio non usasse l’MFA ha giocato a favore dei buoni. Ma non capovolgiamo la situazione trasformandola in una risorse a favore dei criminali informatici non attivando l’MFA quando ci viene offerto.
L’MFA è un passaggio di sicurezza digitale basilare da seguire
L’autenticazione a più fattori può sembrare complessa, ma proprio come il banking online, una volta incorporata nella tua vita digitale diventa parte del processo e può essere uno dei modi più semplici ed essenziali per aumentare la tua sicurezza digitale. Ricorda: è facile mantenere la sicurezza online… devi solo sapere quali passaggi di base incorporare.
Se decidi di iniziare una tradizione di cena e film con la tua famiglia (lo consiglio vivamente e ho un sacco di menu ispirati ai film da condividere, se ti interessa) inizia con Jurassic World – Il dominio e parla di come l’MFA può impedire ad altri di impersonarti. Quali altri film pensi che dovremmo aggiungere al nostro programma? Conosci qualche altro buon film che insegni alla tua famiglia i temi della sicurezza informatica?