L’autenticazione a due fattori è un modo abbastanza efficace per proteggere i propri account online da attacchi e tentativi di furti d’identità. La maggior parte dei social, come Facebook e Twitter, hanno già una buona base di utenti che usa questa funzionalità e lo stesso si può dire anche per gli account Google.
I big della Silicon Valley, infatti, hanno spinto molto affinché i propri utenti attivassero l’autenticazione a due fattori mentre altri giganti del web offrono questa possibilità, senza però suggerirla più di tanto. Almeno fino a oggi. Dal 14 settembre l’autenticazione a due fattori è di fatto obbligatoria anche per tutti gli e-commerce presenti in Rete. Si tratta degli effetti della Direttiva Europea PSD2, che impone standard di sicurezza più elevati per tutte le piattaforme che prevedono forme di pagamento online.
Così i vari Amazon, eBay e tutti gli altri siti di acquisti online “inviteranno” i propri utenti ad attivare questa funzione di sicurezza, così da poter continuare a fare acquisti (e pagare) senza problemi di sorta.
Come abilitare l’autenticazione a due fattori su Amazon
Per abilitare il secondo fattore di autenticazione su Amazon dobbiamo accedere, da loggati, al menu principale e scegliere “Account e liste > Il mio account“. Subito dopo dobbiamo cliccare sul box “Accesso e impostazioni di sicurezza“, inserire la nostra password e poi andare su “Impostazioni avanzate di sicurezza“. In questa pagina troveremo “Verifica in due fasi” e il pulsante “Primi passi” che serve ad avviare la procedura di attivazione dell’autenticazione a due fattori su Amazon.
Dopo averlo cliccato, infatti, ci verrà chiesto di scegliere se ricevere i codici per l’autenticazione via telefono (SMS o chiamata) o tramite App di autenticazione. La seconda scelta è più sicura della prima, perché qualcuno potrebbe clonare il tuo numero di telefono e violare il tuo account Amazon, ma richiede l’installazione di una app di autenticazione (come Google Authenticator o Microsoft Authenticator) sul tuo smartphone se non ne hai già installata una.
Quest’app genererà i codici di accesso ogni volta che sarà necessario e tu potrai usarli al posto di quelli inviati via SMS. Se ad esempio usi Google Authenticator, dovrai aggiungere un account e inquadrare il codice a barre che compare sulla pagina del sito di Amazon dove hai scelto come ricevere i codici. L’app genererà un codice che tu dovrai inserire nella pagina prima di cliccare “Verifica il codice e continua“. Una volta fatto ciò l’autenticazione a due fattori sarà attiva sul tuo account di Amazon.
Come abilitare l’autenticazione a due fattori su eBay
Anche su eBay è possibile attivare l’autenticazione a due fattori. Dopo esserci loggati, dobbiamo accedere alle nostre “Impostazioni account” (menu in alto a sinistra, sotto “Ciao + il nostro nome”). Qui dobbiamo scegliere “Informazioni personali” e, quasi alla fine della pagina, troveremo “verifica in 2 passaggi“. Clicchiamo su “Modifica” e si aprirà la pagina dalla quale potremo scegliere il secondo fattore di autenticazione. Le scelte possibili sono “Usa l’app di eBay” o “Ricevi un SMS“.
eBay, quindi, non permette di usare una app generica di autenticazione ma ci costringe ad usare la propria app. Se non vogliamo installarla, allora è meglio scegliere di ricevere un SMS: dopo aver rieffettuato il login ci verrà chiesto di inserire il numero di telefono al quale inviare i codici. Quando avremo ricevuto l’SMS da eBay, dovremo inserire il codice che ci è stato inviato nella pagina del sito di eBay e cliccare su “Continua“. A questo punto il nostro numero di telefono sarà confermato e riceveremo un SMS con il codice di sicurezza ogni volta che faremo un nuovo accesso sul sito di e-commerce.
Quale metodo di autenticazione scegliere?
Sono stati scelti due tipi di esempi, con i due e-commerce più famosi, di autenticazione a due fattori. Con due metodi diversi: una app specifica per le autenticazioni e il classico numero di telefono. Ma quale scelta è migliore? Partendo dal presupposto che è sempre meglio attivare il secondo fattore di autenticazione, piuttosto che non farlo, c’è da chiedersi quale dei due metodi sia il migliore e il più sicuro.
Per lungo tempo il numero di telefono è stato il secondo fattore di autenticazione più diffuso, per evidenti motivi: tutti ne abbiamo uno e molto spesso abbiamo il telefono a portata di mano quando cerchiamo di accedere ad un sito che richiede il secondo fattore. Usare il metodo dell’SMS, quindi, è comodo e universale, alla portata di tutti. E in linea di massima è anche abbastanza sicuro, perché finché non ci rubano il telefono i nostri account restano protetti.
C’è però un caso, una rara ma possibile eventualità che rende meno sicuro usare l’SMS come secondo fattore di autenticazione: il furto nel numero di telefono. Si tratta di una truffa abbastanza elaborata e non certo facile da mettere a segno ma che, quando funziona, automaticamente offre al truffatore anche a migliaia di chilometri da noi l’accesso a tutti i nostri siti protetti in questo modo.
Di contro, invece, l’uso di una app generica (ma affidabile) di autenticazione ha il vantaggio di essere svincolata dal numero di telefono e dal telefono stesso: se cambiamo numero non perdiamo la possibilità di usarla. Chi vuole forzare i nostri account protetti in questo modo dovrà, contemporaneamente, avere il nostro nome utente e tenere in mano il nostro dispositivo per generare i codici. La cosa scomoda, invece, è che ogni volta che dobbiamo eseguire un accesso dobbiamo aprire l’app per generare il codice.
