Cos’è e come funziona la verifica in due passaggi?

Sono ormai parecchi anni che internet è diventato parte integrante della nostra vita. Ci sono moltissimi servizi online a cui affidiamo informazioni sensibili e riservate. Per questo c’è un forte bisogno di una sempre migliore sicurezza.

Una delle tecniche che le aziende che si occupano di IT hanno sviluppato ormai da diverso tempo è la verifica in due passaggi. Questa si basa sull’utilizzo di due diverse forme di autenticazione e consente di incrementare il livello di sicurezza di servizi online e non solo.

L’idea della verifica in due passaggi non è così recente come si potrebbe pensare. Il prelievo di denaro contato presso un ATM ne è un esempio semplicissimo. In questo caso infatti l’autenticazione è garantita da un dato “conosciuto” (ovvero il PIN della carta) e da un dato “posseduto” (ovvero la carta stessa).

Lo stesso principio è stato replicato per l’accesso ai servizi online. La forma più utilizzata di verifica in due passaggi è infatti l’invio di un codice via SMS. In questo caso il dato “conosciuto” è rappresentato dalla combinazione username/password mentre il dato “posseduto” è rappresentato dal cellulare/smartphone.

Esiste anche la variante con invio di un codice alla casella di posta elettronica ma sono molti gli utenti che considerano l’email un servizio “troppo web” (e quindi eventualmente hackerabile) mentre l’SMS è visualizzabile solamente se si è in possesso del cellulare/smartphone con la SIM il cui numero è stato verificato.

Si può tuttavia verificare lo smarrimento o il furto del cellulare. In questo caso la soluzione migliore risulta il blocco della SIM con la conseguente attivazione di una nuova SIM con il medesimo numero. In questo modo il cellulare perso non potrà ricevere comunicazioni (telefonate ed SMS). Ovviamente se si possiede uno smartphone può risultare fondamentale utilizzare servizi di localizzazione e di cancellazione remota dei dati in modo da non consentire ad eventuali malintezionati di accedere ai dati sensibili presenti nel dispositivo.

In caso sia necessario effettuare la verifica in due passaggi, ad esempio se ci si trova all’estero senza i propri dispositivi registrati come “di fiducia”, ma non si ha copertura cellulare allora è possibile utilizzare software che generano codici senza necessità di connessioni web. Altrimenti l’alternativa è utilizzare codici stampati in precedenza.

Se invece si ha a disposizione il proprio smartphone è possibile utilizzare servizi come Google Authenticator (disponibile per Android ed iOS) che consentono di generare codici senza necessità di connessione.

La verifica in due passaggi non è, per il momento, obbligatoria ma può essere attivata per moltissimi servizi web dalla pagina delle impostazioni di sicurezza del proprio account. Ovviamente utilizzarla conferisce certamente maggiore sicurezza ai propri account ma potrebbe essere superflua in alcuni casi.

Il consiglio è quello di attivarla per tutti quei servizi web che gestiscono dati sensibili come ad esempio la propria email principale, i social network più utilizzati e naturalmente i portali online bancari.

Quando si attiva la verifica in due passaggi bisogna ricordarsi che questa non è infallibile ma al momento è la procedura più sicura per evitare che hacker e cracker riescano ad accedere a dati sensibili che, divulgati, potrebbero comportare danni davvero notevoli.

Condividi