Autenticazione a più fattori: chi ce l'ha e come configurarla
Pubblicato: 2022-01-29Il bug Heartbleed del 2014 ha esposto milioni di accessi a Internet a truffatori grazie a un minuscolo pezzo di codice e da allora i nostri incubi sulla sicurezza sono peggiorati progressivamente negli anni.
Cosa deve fare l'utente medio di Internet? Bene, dovresti avere password complesse. Sono un metodo di autenticazione piuttosto ridicolo e possono essere recuperati abbastanza facilmente con una varietà di metodi. (Ma puoi smettere di modificare le tue password costantemente a meno che non siano in violazione.)
Quello di cui hai veramente bisogno è un secondo modo per verificarti. Ecco perché molti servizi Internet, alcuni dei quali hanno sentito il rischio di essere violati o violati, offrono l'autenticazione a più fattori (o MFA ). Fino a poco tempo fa, di solito la chiamavamo autenticazione a due fattori ( 2FA ), ma più fattori sono migliori. Troverai tutti i termini usati in modo intercambiabile con "multi-step", "two-step" e "verifica" a seconda del marketing.
Come ha affermato Neil J. Rubenking, principale analista della sicurezza di PCMag, "ci sono tre fattori generalmente riconosciuti per l'autenticazione: qualcosa che conosci (come una password), qualcosa che hai (come un token hardware o un telefono cellulare) e qualcosa che sei (come l'impronta digitale). Due fattori significano che il sistema sta utilizzando due di queste opzioni." Multi-fattore significa che potresti averne anche più di due.
Gli scanner biometrici per impronte digitali e retine o volti sono in crescita grazie a innovazioni come Face ID di Apple e Windows Hello. Ma nella maggior parte dei casi, l'autenticazione extra è semplicemente una stringa numerica, poche cifre inviate al tuo telefono, come codice che può essere utilizzato solo una volta.
Puoi ottenere quel codice tramite un messaggio di testo SMS (che non è una buona idea) o un'app per smartphone specializzata chiamata "autenticatore". Una volta collegata ai tuoi account, l'app mostra una serie di codici in continua rotazione da utilizzare quando necessario, non richiede nemmeno una connessione a Internet. Esistono diverse app, incluse alcune di grandi nomi come Microsoft e Google, oltre a Twilio Authy, Duo Mobile e LastPass Authenticator. Fanno tutti la stessa cosa, essenzialmente, alcuni con la gestione delle password e altre funzionalità. Ecco la nostra carrellata delle migliori app di autenticazione.
La maggior parte dei gestori di password popolari (come LastPass) offrono tutti anche l'autenticazione MFA per impostazione predefinita. I codici forniti dalle app di autenticazione si sincronizzano tra i tuoi account, quindi puoi scansionare un codice QR su un telefono e ottenere il tuo codice di accesso a sei cifre sul tuo browser, se supportato.
Tieni presente che l'impostazione dell'autenticazione a più fattori può effettivamente interrompere l'accesso all'interno di alcuni servizi precedenti. In questi casi, devi fare affidamento sulle password delle app, una password generata sul sito Web principale da utilizzare con un'app specifica. Vedrai le password delle app come un'opzione con Facebook, Twitter, Microsoft, Yahoo, Evernote e altri, tutti utilizzati come accessi di terze parti o con funzioni precedenti a cui puoi accedere da altri servizi. La necessità di password per le app, per fortuna, sta diminuendo.
Ricordalo mentre sei preso dal panico per quanto tutto ciò suoni difficile: essere al sicuro non è facile . I cattivi contano sul fatto che tu sia lassista. L'implementazione dell'autenticazione a più fattori significa che ci vorrà un po' più di tempo per accedere ogni volta su un nuovo dispositivo, ma a lungo termine ne vale la pena per evitare gravi furti, che si tratti della tua identità, dei tuoi dati o del tuo denaro.
Quello che segue non è un elenco esaustivo di servizi con capacità MFA, ma trattiamo i principali servizi che tutti tendono a utilizzare e ti guideremo attraverso l'installazione. Attiva MFA su tutti questi e sarai più sicuro che mai.
Verifica in due passaggi di Amazon
Il supporto di Amazon 2FA è piuttosto importante, poiché Amazon ha le dita in molte torte, come Comixology, Audible.com e siti che utilizzano Amazon per i pagamenti, tutti legati alla tua carta di credito.
Apri Amazon.com sul desktop, fai clic sul menu a discesa Account ed elenchi e vai su Il tuo account . Fare clic su Accesso e sicurezza . Nella pagina successiva, fai clic su Modifica accanto a Impostazioni della verifica in due passaggi (2SV) . Il metodo preferito è un'app di autenticazione (scansionare il codice QR); i numeri di telefono sono il metodo di backup.
Una buona opzione con Amazon è la possibilità di dire al servizio di saltare i codici sui dispositivi attendibili (o su più browser Web attendibili sullo stesso dispositivo). Se l'opzione non funziona più tardi, torna alla pagina Verifica in due passaggi (2SV) e fai clic su Richiedi OTP su tutti i dispositivi . OTP significa password monouso; questo è ciò che Amazon insiste nel chiamare il codice di autenticazione.
Autenticazione a due fattori Apple
Il tuo ID Apple è una parte importante della tua vita se sei un utente iOS o Mac. È importante non solo per l'accesso, ma anche per l'archiviazione tramite iCloud; acquisti come film, libri e app; e abbonamenti a servizi come Apple Music e Apple TV+.
Per attivare l'autenticazione a due fattori, vai alla pagina Gestisci il tuo ID Apple e accedi. Cerca Sicurezza dell'account > Autenticazione a due fattori e fai clic su "Inizia..."
Vengono quindi forniti i passaggi su come impostare 2FA per Apple utilizzando iOS o macOS. Su iOS vai su Impostazioni > [il tuo nome in alto] > Password e sicurezza > Attiva autenticazione a due fattori . Su macOS vai su > Preferenze di Sistema > iCloud , accedi, fai clic su Dettagli account > Sicurezza > Attiva autenticazione a due fattori . (Ecco le specifiche sulla configurazione in iOS 15 in modo da poter letteralmente utilizzare il tuo dispositivo iOS come app di autenticazione.)
Dovrai rispondere a due delle tre domande di sicurezza preimpostate e riconfermare la tua carta di credito sull'account per accedere alla configurazione. Quindi devi inserire un numero di telefono valido per ricevere un SMS o una telefonata (anche se è il numero già sul telefono che stai utilizzando per la configurazione). Se si tratta dello stesso telefono, il codice a sei cifre verrà inserito automaticamente all'arrivo o semplicemente digitarlo.
Successivamente, l'accesso a qualsiasi cosa con un ID Apple dovrebbe generare il codice sul dispositivo utilizzato per la configurazione. Apple supporta anche password specifiche per le app.
Tieni presente che una volta che l'autenticazione a due fattori di Apple è attiva, non puoi disattivarla. "Alcune funzionalità nelle ultime versioni di iOS e macOS richiedono questo ulteriore livello di sicurezza, progettato per proteggere le tue informazioni", afferma Apple.
Verifica in due passaggi di Dropbox
Dropbox sul sito Web desktop ha una scheda chiamata Sicurezza . È qui che vai per controllare quante sessioni correnti sono collegate e i dispositivi stanno utilizzando l'account, per cambiare la password e, naturalmente, per attivare la verifica in due passaggi. Attivalo , inserisci una password e ti verrà chiesto se desideri ricevere codici di sicurezza tramite SMS o tramite un'app di autenticazione mobile.
Se scegli il testo, inserisci un numero di telefono e ricevi immediatamente un codice. Puoi anche inserire un numero di backup, oltre a ricevere un numero di 16 cifre che dovresti salvare in un posto sicuro; ti consentirà di disattivare la verifica in due passaggi, se necessario. Se scegli l'app di autenticazione (e dovresti), vedrai un codice QR sullo schermo da scansionare. Altre opzioni includono l'uso di una chiave di sicurezza hardware, se ne hai una. Dropbox fornisce eccellenti istruzioni MFA.
Autenticazione a due fattori di Facebook
Facebook è l'ultimo posto in cui vuoi perdere il controllo di un account; la sua versione di autenticazione a due fattori aiuterà a prevenirlo. Sul desktop, si accede andando in Impostazioni > Sicurezza e accesso .
In Autenticazione a due fattori , fai clic su Modifica a destra. Nella schermata successiva, seleziona come desideri ricevere la seconda forma di autenticazione: un messaggio di testo, un'app di autenticazione o una chiave di sicurezza fisica. È qualcosa che colleghi o metti vicino al tuo computer per ottenere l'accesso: per ulteriori informazioni, leggi I migliori token di sicurezza per l'autenticazione a più fattori.
Se selezioni un'app di autenticazione (che è l'opzione migliore quando si tratta di Facebook), Facebook produrrà un codice QR sullo schermo del desktop. Apri l'app di autenticazione sullo smartphone, seleziona Aggiungi e avvicina lo smartphone allo schermo del computer per acquisire il codice. La prossima volta che accedi a Facebook e richiede il tuo codice a sei cifre, apri l'app di autenticazione per recuperarlo.
Le opzioni di cui sopra richiedono che tu abbia accesso al tuo telefono, ovviamente. Ma quando attivi MFA, puoi ottenere un elenco di 10 codici di ripristino da scaricare e utilizzare in qualsiasi momento, anche se non hai il telefono. Ottienili nell'area Impostazioni di autenticazione a due fattori e salvali in un posto sicuro.
Verifica in due passaggi di Google
Con l'accesso alla tua carta di credito (per fare acquisti su Google Play pagando tramite Google Pay), messaggi e documenti importanti, i tuoi dispositivi domestici intelligenti e persino i tuoi video su YouTube, essenzialmente per tutta la vita, un account Google deve essere ben protetto. Per fortuna, l'azienda lavora sui sistemi MFA dal 2010.
La prima opzione più semplice per la verifica in due passaggi di Google è l'utilizzo di Google Prompt . Aggiungi semplicemente il tuo smartphone al tuo account, assicurati che l'app di ricerca di Google sia sul telefono e, al momento dell'accesso, vai al telefono e conferma semplicemente con un tocco che sei tu ad accedere. Facile.
Se non funziona, dovrai inserire un codice aggiuntivo. Tale codice viene inviato al telefono tramite SMS, una chiamata vocale o utilizzando un'app di autenticazione. Google Authenticator, o qualsiasi app di autenticazione, può generare il codice di verifica per te, senza bisogno di Internet. Sul tuo account personale, scegli di registrare il tuo computer di fiducia in modo da non dover inserire un codice ad ogni accesso.
Dopo aver configurato la verifica in due passaggi di Google, accedi nuovamente visitando le impostazioni di sicurezza del tuo account Google. Seleziona i numeri di telefono opzionali che possono ricevere codici, passare all'utilizzo di un'app di autenticazione e generare password specifiche per l'app.
Autenticazione a due fattori di Instagram
Instagram di proprietà di Facebook offre l'autenticazione a due fattori dal 2016. Per attivarla, nell'app mobile vai al tuo profilo (con l'icona in basso a destra), quindi tocca il menu dell'hamburger in alto a destra. Tocca Impostazioni > Sicurezza > Autenticazione a due fattori .
Lì puoi scegliere come desideri ottenere il tuo codice di autenticazione. Le opzioni includono un'app di autenticazione (consigliata) tramite WhatsApp o tramite SMS (includi il prefisso internazionale, perché Instagram è ovunque). Se utilizzi un'app di autenticazione, Instagram ti guiderà attraverso i passaggi per configurarla, poiché non puoi scansionare esattamente un codice QR dal tuo cellulare mentre usi l'app sul tuo cellulare.)
L'app offre anche un elenco di cinque codici di backup da utilizzare quando non è possibile ottenere i codici tramite l'app di autenticazione o gli SMS. Di' all'app di inviarti una notifica delle richieste di accesso al tuo account in modo da avere un'ulteriore possibilità di approvarle.
Intuit TurboTax, Turbo e Mint.com
Preoccupato per SIRF? Questa è una frode di rimborso dell'identità rubata, qualcosa che l'IRS combatte in modo che i rimborsi delle tasse vadano a te, non a truffatori e truffatori.
Aiutati attivando l'autenticazione a più fattori, se utilizzi software/servizi di archiviazione elettronica. Intuit TurboTax è una scelta degli editori PCMag per il software di preparazione delle tasse. Dopo aver effettuato l'accesso tramite il browser desktop, fai clic su Account Intuit > Accesso e sicurezza e fai clic sul collegamento accanto a Verifica in due passaggi . Se hai già inserito un numero di telefono, dovrebbe apparire qui in modo da poter verificare tramite SMS o chiamata vocale. Una volta attivato, viene visualizzata l'opzione per attivare l'app Authenticator . Il numero di telefono rimane nel sistema per il fallback.
Questo accesso funziona anche per Mint, il tracker delle finanze personali online di Intuit.
Verifica in due passaggi di LinkedIn
Il social network aziendale LinkedIn semplifica la configurazione della verifica MFA, tramite SMS o un'app di autenticazione. Vai al menu Io > Impostazioni e privacy > Accesso e sicurezza > Verifica in due passaggi .
Riceverai immediatamente un codice a sei cifre da inserire per verificare che sei tu. Ottieni un solo numero di telefono (nessun backup). Puoi anche andare qui per ottenere codici di recupero che ti consentono di accedere all'account anche se non hai accesso al tuo telefono.
Verifica in due passaggi Microsoft
Microsoft ha unito la maggior parte dei suoi servizi sotto un unico ombrello. Outlook.com, OneDrive, Xbox Live, Skype, un abbonamento a Office 365, lo stesso sistema operativo Windows e molto altro possono utilizzare lo stesso account. Naturalmente, dovrebbe ottenere una protezione extra.
In effetti, Microsoft ha dichiarato nel 2021 che non richiederà nemmeno una password per gli account, a condizione che tu utilizzi uno dei suoi modi per accedere in stile MFA. Ciò significa utilizzare l'app Microsoft Authenticator su iOS o Android, l'accesso biometrico di Windows Hello. Ma puoi continuare a utilizzare una password e ottenere una chiave di sicurezza o un codice di verifica.
Consigliato dai nostri editori
Accedi al tuo account Microsoft su account.microsoft.com/profile. Nella navigazione in alto, fai clic su Sicurezza; nella pagina successiva, fai clic su Opzioni di sicurezza avanzate. Vedrai un link chiamato Aggiungi un nuovo modo per accedere o verificare e qui puoi inserire molte informazioni, come indirizzi e-mail e numeri di telefono che possono essere utilizzati per ottenere un codice, inoltre puoi impostare Inserisci un codice da un'app di autenticazione. Sotto, vedrai le opzioni per l' account senza password e la verifica in due passaggi.
Non è necessario utilizzare Microsoft Authenticator se stai configurando l'accesso MFA solo con una password. Funziona anche con altre app di autenticazione standard, come Google Authenticator e Authy, ma per usarle devi selezionare "altro" durante la configurazione. Oppure puoi ricevere i codici inviati tramite SMS o e-mail.
Ma se vuoi utilizzare la nuova opzione dell'account senza password , sul tuo smartphone sarà richiesto Microsoft Authenticator. Ma potresti non dover nemmeno inserire un codice: l'app verrà visualizzata se provi ad accedere da qualche parte e dopo aver effettuato l'accesso al telefono l'app è attiva, di solito fai clic su un paio di caselle per l'autenticazione, easy-peasy. (Alcuni potrebbero dire troppo facile, dal momento che tutto ciò che chiunque deve accedere al tuo account Microsoft ora è rubare il tuo telefono poiché non c'è password.)
Microsoft fornisce un codice di ripristino da annotare e tenere al sicuro, un whopper di 25 cifre (come il tipo che utilizza su qualsiasi cosa, dalle registrazioni del software agli omaggi Xbox).
Verifica in 2 passaggi PayPal
In quanto servizio dedicato all'esecuzione dei pagamenti, è meglio che PayPal sia il più sicuro possibile.
Quando accedi, fai clic sull'icona a forma di ingranaggio per ottenere un menu e accedere a Impostazioni > Sicurezza . Accanto a Verifica in due passaggi , fai clic su Configura . Puoi ricevere un messaggio di testo o un codice tramite un'app di autenticazione; per quest'ultimo esegui i consueti passaggi di scansione di un codice QR con l'app. Scegli un'opzione come metodo principale.
Hai la possibilità di aggiungere un metodo MFA di backup al tuo account, come un numero diverso o anche un'altra intera app di autenticazione, per quando non riesci a raggiungere il tuo telefono. Torna in Impostazioni> Sicurezza e fai clic su Aggiorna se desideri aggiungere metodi o disattivare completamente l'autenticazione a più fattori. Puoi anche saltare l'autenticazione a più fattori su dispositivi selezionati quando accedi a questi ultimi, quindi non ti verrà più chiesto un codice su quel dispositivo/browser.
I passaggi per questo sono leggermente diversi se hai un account aziendale, ma alla fine devi solo trovare la strada per le Impostazioni per arrivare alla verifica in due passaggi.
Autenticazione Slack a 2 fattori
Hai un ufficio Slack? Se puoi proteggerlo con due fattori dipende dalle impostazioni dell'account del tuo spazio di lavoro. Se accedi a Slack utilizzando il tuo account G Suite, gestirai due fattori tramite Google. Se accedi a più aree di lavoro Slack, devi configurare MFA su ciascuna area di lavoro individualmente: alcuni potrebbero utilizzarlo, altri no.
Altrimenti, vai su Account > Impostazioni > Autenticazione a due fattori per trovare il pulsante Imposta autenticazione a due fattori . (Se non lo vedi, non è un'opzione per te.) Dopo aver inserito la password, hai due possibilità: ricevere il codice tramite messaggi di testo SMS o utilizzare un'app di autenticazione. Anche se scegli l'app, hai la possibilità di inserire un numero di cellulare di backup.
I proprietari/amministratori possono accedere a Impostazioni e autorizzazioni dell'area di lavoro > Autenticazione per richiedere l'autenticazione a due fattori dell'area di lavoro, se lo si desidera.
Autenticazione a due fattori di Twitter
Per attivare la verifica dell'accesso su Twitter.com sul desktop, fai clic sul menu Altro a sinistra e seleziona Impostazioni e privacy > Sicurezza e accesso all'account > Sicurezza > Autenticazione a due fattori . Scegli di ricevere i codici tramite telefono (testo SMS), app di autenticazione o con una chiave di sicurezza fisica (o qualsiasi combinazione dei tre). Nell'app Twitter mobile, i passaggi sono più o meno gli stessi, ma inizi facendo clic sulla foto del tuo profilo.
Twitter genererà codici di backup per quando perdi un dispositivo e password temporanee da utilizzare una volta quando accedi a servizi/luoghi/ora in cui non puoi ottenere un normale codice MFA.
Puoi anche utilizzare l'app Twitter stessa come app di autenticazione. Sull'app mobile (non funziona sul desktop) vai su Impostazioni > Sicurezza e accesso all'account > Sicurezza > Autenticazione a due fattori > Generatore di codice di accesso per visualizzare un numero a sei cifre che si aggiorna ogni 30 secondi, esattamente come un autenticatore app. Questo può aiutare quando accedi a siti di terze parti con le tue credenziali Twitter.
Chiave account Yahoo o verifica in due passaggi
Per impostare la verifica su Yahoo, accedi alle tue informazioni personali (cerca il tuo nome o il link per accedere, nell'angolo in alto a destra di qualsiasi pagina di Yahoo, e seleziona Aggiungi o gestisci account > Informazioni account ). Fai clic su Sicurezza dell'account e vedrai l'interruttore della verifica in due passaggi . Ti confermerà immediatamente il numero di telefono sul tuo account, oppure ne chiederà uno nuovo e invierà un codice di verifica. Ti avverte inoltre che alcune app non funzioneranno con la verifica del secondo accesso, che richiederanno le password delle app.
Non è possibile utilizzare un'app di autenticazione di terze parti. Tuttavia, la chiave dell'account Yahoo è la cosa migliore. Si aspetta che tu abbia almeno un'app creata da Yahoo sul tuo telefono, come Yahoo Mail. Quando provi ad accedere, devi avviare l'app, quindi Yahoo Account Key invierà una notifica direttamente ad esso. Premi un pulsante per confermare che sei tu, e il gioco è fatto: nessun codice o password da inserire.
Se non disponi di un'app Yahoo sul tuo dispositivo mobile, Yahoo può inviarti un SMS o un'e-mail con un codice MFA. Quando/se attivi la chiave dell'account Yahoo, Yahoo disattiva la verifica in due passaggi e viceversa, poiché la chiave dell'account deve essere disattivata per consentire la verifica in due passaggi.
Dopo aver configurato una delle precedenti, l'elenco Sicurezza account mostra un'altra opzione: Genera password app . Quando sarai pronto per accedere ai servizi Yahoo su dispositivi senza supporto diretto, andrai qui per creare la nuova password univoca che consentirà l'accesso.
Tutti i siti con MFA
L'elenco sopra copre le più grandi aziende tecnologiche e alcune che hanno un accesso importante ai tuoi dati. Ma se hai bisogno di un elenco completo di quasi tutti i siti o servizi che offrono l'autenticazione a più fattori, completo di istruzioni per ciascuno, c'è un'opzione: la directory 2FA ha un ottimo elenco di siti che lo supportano e quale metodo usano per inviare un codice (chiamano un'app di autenticazione un "token software" sul sito.) Forniscono anche collegamenti alla documentazione su ciascun sito/servizio su come impostare l'autenticazione a più fattori.