Per utilizzare molti dei servizi presenti su Internet, come ad esempio l’email, l’e-banking o lo shopping online, è necessario prima dimostrare di essere chi effettivamente si afferma di essere. Questo processo di verifica dell’identità è conosciuto con il nome di autenticazione.
Per tradizione, uno dei metodi più comunemente utilizzati nell’autenticazione è stato l’abbinamento di nome utente e password. Il problema nell’utilizzo della sola password è ovvio: tutto ciò che un hacker deve fare è indovinare o compromettere la vostra password per ottenere un accesso al vostro account online e alle relative informazioni.
Nel caso utilizziate lo stesso nome utente e password per account diversi, cosa purtroppo ancora piuttosto diffusa. il danno può essere anche maggiore. Per proteggere in modo adeguato i servizi online, i siti web stanno adottando metodi di autenticazione forte che richiedono l’utilizzo di più di un fattore.
Si chiama "autenticazione a due fattori" quel meccanismo che consente di accedere ad un servizio soltanto facendo ricorso all’utilizzo congiunto di due metodi di autenticazione individuale. Un approccio del genere consente di avere un livello di sicurezza più elevato scongiurando eventuali tentativi di accesso non consentiti da parte di persone non autorizzate.
Per effettuare il login su un servizio è possibile utilizzare una password ma anche un telefono cellulare od un oggetto fisico chiamato "token".
Vediamo ora come funziona l’autenticazione a due fattori attraverso uno dei servizi online più utilizzati: Gmail.
Molti utenti si autenticano utilizzando nome utente e password, ma Google è in grado di offrire una protezione migliore grazie all’autenticazione a due fattori, definita da Google “Verifica in due passaggi”.
Questo tipo di verifica richiede due cose: la password e il vostro smartphone. Per provare che possedete il vostro smartphone, Google invierà via sms un codice univoco e utilizzabile una sola volta. In alternativa invece di utilizzare l’sms, è disponibile un’applicazione per smartphone che genera un codice univoco.
Questi codici di verifica inviati al vostro smartphone sono unici e diversi ogni volta che vi autenticate. Google vi permette comunque di ricordare un computer da cui vi siete precedentemente collegati in modo da non richiedervi il secondo codice, questo torna molto comodo se si utilizza ad esempio un computer in casa.
Questa caratteristica di sicurezza non è abilitata per default: per abilitarla, dovrete collegarvi al vostro account Google ed entrare nelle impostazioni quindi, selezionare sicurezza e, seguire le opzioni per la verifica in due passaggi.
Gmail è solo un esempio, molti altri servizi online come Drobpox hanno implementato questa opzione per aumentare la sicurezza dei loro servizi.