Negli ultimi anni un nuovo concetto di sicurezza^{(security concept)} ha fatto notizia: la verifica in due passaggi o l'autenticazione a due fattori^{(verification or two-factor authentication)} (2FA). Tutto è iniziato con Google che lo ha abilitato per i suoi utenti e da allora molte aziende hanno seguito il loro esempio, tra cui Microsoft , Apple e Facebook . Anche le società di gioco si sono unite a questa tendenza. Se vuoi capire cos'è l'autenticazione a due fattori^{(two-factor authentication)} , come funziona, perché dovresti abilitarla e dove leggi questo articolo:

Che cos'è l' autenticazione o la verifica^{(authentication or verification)} in due passaggi ?

L'autenticazione a due fattori è un processo di sicurezza^{(security process)} che prevede due fasi per verificare l'identità di una persona o entità^{(person or entity)} che sta tentando di accedere a un servizio di qualsiasi tipo (e-mail, social network, servizi bancari, ecc.). Questo concetto è anche denominato verifica in due passaggi e richiede due o più di questi tre fattori di autenticazione: un fattore di conoscenza^{(knowledge factor)} , un fattore di possesso^{(possession factor)} e un fattore di inerenza^{(inherence factor)} .

L'autenticazione tradizionale coinvolge solo uno o due dei tre fattori menzionati in precedenza. Ad esempio, se si desidera utilizzare un servizio come la posta elettronica, l'autenticazione tradizionale prevede la conoscenza di un nome utente e della relativa password. La conoscenza^(Knowledge) può essere rubata in vari modi e le persone possono scoprire sia il tuo nome utente che la tua password^{(username and password)} e quindi utilizzare tali informazioni per fingere di essere te o rubare informazioni preziose che possono essere utilizzate per danneggiarti.

Nel mondo reale, la verifica tradizionale può coinvolgere il fattore conoscenza^{(knowledge factor)} e il fattore possesso^{(possession factor)} . Ad esempio, quando vai a un bancomat^(ATM) per prendere contanti, usi la tua carta di debito o di credito^{(debit or credit card)} ( fattore di possesso^{(possession factor)} ) e il PIN (un fattore di conoscenza^{(knowledge factor)} ). Tuttavia, sia il PIN che le informazioni sulla tua carta di credito^{(credit card)} possono essere rubati in vari modi e soggetti non autorizzati possono effettuare transazioni online utilizzando i tuoi soldi. Ecco perché il concetto 3D Secure è stato sviluppato per fornire un ulteriore livello di sicurezza^{(security layer)} per le transazioni online con carta di credito e debito.

Quando si utilizza la verifica in due passaggi nel mondo digitale, viene aggiunto un terzo fattore: il fattore di possesso, di^{(possession factor)} solito lo smartphone o il telefono cellulare. Questo dispositivo viene utilizzato per la seconda fase di verifica della tua identità. Ad esempio, quando accedi al tuo account e-mail^{(email account)} , fornisci prima il tuo nome utente e password^{(username and password)} . Quindi, ti viene chiesto di fornire una password basata sul tempo che scade in un paio di secondi. Questa password può essere inviata al tuo account di posta elettronica^{(email account)} , al tuo smartphone, oppure può essere generata da un'app di autenticazione^{(authenticator app)} come Google Authenticator o Microsoft Authenticator .

Come funziona l'autenticazione a due fattori

Alcune società e servizi forniscono anche dispositivi di autenticazione fisica che generano continuamente i codici che è necessario utilizzare per finalizzare il processo di verifica^{(verification process)} . Ad esempio, molte banche forniscono dispositivi fisici per la verifica in due passaggi, in modo che tu possa accedere al tuo conto bancario online^{(bank account online)} . Inoltre, PayPal lo fa per diversi paesi, inclusi gli Stati Uniti^(USA) .

Come funziona l' autenticazione^{(authentication work)} a due fattori ?

Le implementazioni per l'autenticazione in due passaggi sono molte e non entriamo nei dettagli su tutte perché questo articolo diventerebbe molto lungo.

L'implementazione più popolare è l'approccio di Google basato sull'algoritmo TOTP - Time-based One-Time Password Algorithm^{(TOTP - Time-based One-time Password Algorithm)} . Quando la verifica in due passaggi è abilitata per il tuo account, un server speciale genera una nuova password/codice una volta ogni due secondi. Il dispositivo che condivide con te la password deve essere sincronizzato con il server in modo che il codice inserito durante il secondo passaggio di autenticazione^{(authentication step)} corrisponda a quello sul server. Se il dispositivo che condivide la password non è sincronizzato, non puoi completare la verifica della tua identità.

Questo algoritmo è il più popolare trovato online. Molte aziende lo utilizzano, tra cui Google , Microsoft , Apple , Facebook , Evernote , Dropbox , WordPress , MailChimp e LastPass .

Per aiutarti a capire più facilmente come funziona l'autenticazione a due fattori, prendiamo ad esempio Fortnite , un popolare gioco online^{(online game)} a cui giocano molte persone. Una volta configurata l'autenticazione a due fattori (2FA) per il tuo account Epic Games (i creatori di Fortnite ), non è più sufficiente fornire solo nome utente e password^{(username and password)} per accedere. Devi anche fornire un passcode secondario per poterlo fare fare quello.

Fornire un passcode 2FA per accedere a un account Fortnite (Epic Games).

Il passcode aggiuntivo è temporaneo e tu sei l'unico a conoscerlo. Nessun altro dovrebbe essere in grado di trovarlo, poiché puoi ottenere questo codice solo da un'app di autenticazione^{(authenticator app)} (come Google Authenticator ) o da un messaggio e-mail che ricevi da Epic Games . I codici di autenticazione a due fattori cambiano ogni due secondi, quindi dovrebbero essere quasi impossibili da indovinare.

L'app Google Authenticator su uno smartphone

Se fornisci il codice di autenticazione^{(authentication code)} a due fattori corretto , accedi al tuo account Fortnite^{(Fortnite account)} . Per i prossimi 30 giorni non devi fornire codici 2FA sul dispositivo su cui hai già effettuato l'accesso. Tuttavia, al termine dei 30 giorni o se provi ad accedere da un nuovo dispositivo, devi fornire un passcode 2FA valido di nuovo.

Autenticazione a due fattori nel settore bancario^{(banking sector)}

Un altro approccio popolare è quello utilizzato dalle banche e dai fornitori di carte di credito . ^{(credit card)}Si chiama 3-D Secure e viene utilizzato per approvare transazioni finanziarie effettuate online. Questo metodo di verifica in due passaggi coinvolge tre entità: il dominio dell'esercente o della banca a cui viene versato il denaro, il dominio della banca che emette la carta utilizzata e l'infrastruttura che supporta il protocollo 3-D.

Password monouso richiesta da una banca per accedere ai propri servizi online

Questo protocollo utilizza solo connessioni SSL sicure per effettuare transazioni online e, affinché una transazione sia approvata, è necessaria una password speciale, insieme al tuo nome e ai dettagli della carta di credito^{(name and credit card details)} . Questa password può essere temporanea e basata sul tempo, oppure può essere permanente e impostata da te, l'utente. Un altro aspetto importante è che questa password non viene memorizzata dal commerciante o dalla banca a cui viene pagato il denaro. La password è nota solo ai server che forniscono l'infrastruttura per il protocollo 3-D. Pertanto, se il commerciante viene violato, gli hacker non possono ottenere la tua password 3-D Secure^{(Secure password)} .

Perché è necessaria l'autenticazione a due fattori?

Il motivo principale per cui dovresti utilizzare la verifica in due passaggi è proteggerti. Utilizzando questo ulteriore livello di protezione, rendi più difficile per le parti indesiderate accedere alla tua identità online^{(identity online)} e rubare dati personali o finanziari.

Quando utilizzi 3-D Secure per le transazioni finanziarie, rendi più difficile per gli hacker rubare i tuoi soldi. È facile per loro copiare i dettagli della tua carta, ma avranno difficoltà a ottenere la tua password 3-D Secure^{(Secure password)} .

Quando dovresti usare l'autenticazione a due fattori?

L'aggiunta di una fase di autenticazione^{(authentication step)} secondaria è fastidiosa per tutti ma necessaria per mantenere privati i nostri account e dati. Ti consigliamo vivamente di abilitare e utilizzare la verifica in due passaggi almeno per i seguenti tipi di servizi:

E-mail : la tua casella^(Inbox) di posta memorizza la maggior quantità di dati personali di tutti i tuoi account online. Le persone possono spiare la tua cronologia e-mail, conoscere il nome utente per i tuoi conti bancari e PayPal^{(banking and PayPal accounts)} , saperne di più sul tuo lavoro, le tue relazioni e molti altri dettagli importanti. Proteggere la tua casella di posta è la prima cosa che dovresti fare.
Operazioni bancarie e finanziarie^{(Online banking & financial transactions)} online: se esegui operazioni bancarie online, se acquisti articoli da Amazon , eBay o altri negozi online, devi proteggere la tua carta di credito o di debito. Chiedi alla tua banca informazioni su 3-D secure e sulle opzioni di verifica in due passaggi che offre, abilitale e utilizzale.
Memorizzazione delle password^{(Storing your passwords)} : molte persone attente alla sicurezza utilizzano servizi come LastPass , Roboform o KeePass^{(Roboform or KeePass)} . La loro sicurezza è fondamentale. Se la password del tuo account^{(account password)} viene rubata, le parti non autorizzate hanno accesso a tutte le tue password e possono farti molti danni.
Social Networking : tutti noi memorizziamo molti dati personali sui social network come Facebook , Twitter o Instagram . Se altri accedono ai tuoi dati, potrebbero trovare molte cose che preferiresti mantenere private. Ad esempio, se hai un partner geloso, potrebbe già conoscere la tua password di Facebook^{(Facebook password)} e tenere d'occhio quello che fai. Proteggiti e abilita l'autenticazione a due fattori.

Verifica in due passaggi per il tuo account Gmail

Come abilitare l'autenticazione a due fattori per i tuoi account più importanti

In generale, abilitare l'autenticazione a due fattori significa che devi accedere al tuo account online e^{(account and head)} accedere alla tua password e alle impostazioni di sicurezza^{(password and security settings)} . Quindi, se puoi utilizzare l'autenticazione a due fattori per il tuo account, dovresti trovare un'opzione per questo. Se è disponibile la 2FA, abilitarla significa seguire un paio di passaggi in cui si sceglie il metodo che si preferisce (solitamente cioè l'autenticazione tramite email o app di autenticazione^{(email or authenticator app)} su smartphone). Per aiutarti ad abilitare e utilizzare l'autenticazione a due fattori, abbiamo pubblicato alcune guide che coprono alcuni dei servizi online più popolari:

Come abilitare o disabilitare la verifica in due passaggi per il tuo account Google^{(Google account)}
Approva^(Approve) o nega le richieste di accesso al tuo account Microsoft^{(Microsoft account)} utilizzando Android
Come attivare la verifica in due passaggi per il tuo ID Apple^{(Apple ID)} , su iPhone o iPad^{(iPhone or iPad)}
Configura^(Set) la verifica in due passaggi per il tuo account Microsoft^{(Microsoft account)} con Google Authenticator
Come abilitare e utilizzare la 2FA^(Fortnite) di Fortnite (autenticazione a due fattori)
Abilita e utilizza l'autenticazione a due fattori (2FA) per il tuo account Blizzard^{(Blizzard account)}

Inoltre, se stai cercando un modo semplice per implementare l'autenticazione a due fattori nella tua azienda, ecco un breve articolo sui vantaggi di un'eccellente soluzione di questo tipo: 7 cose che puoi fare con ESET Secure Authentication .

Hai abilitato l'autenticazione a due fattori su tutti i tuoi account?

Ci auguriamo che tu abbia trovato utile questa guida. Se hai domande o problemi con la comprensione del funzionamento della verifica in due passaggi, non esitare a lasciare un commento qui sotto.

Simple questions: What is two-factor authentication or two-step verification?

In recent years а nеw security cоncept has made the headlines - twо-step verification or two-factor authentication (2FA). It all started with Google enablіng it for its υsers, and since thеn, many companiеs followed their example, including Microsoft, Aрple, and Facebook. Even gaming companies joined thіs trend. If you would like to understand what two-factor authentication is, how it works, why you should enable it and where rеad this article:

What is two-step authentication or verification?

Two-factor authentication is a security process that involves two stages for verifying the identity of a person or entity that is trying to access a service of any kind (e-mail, social networking, banking, etc.). This concept is also named two-step verification, and it requires two or more of these three authentication factors: a knowledge factor, a possession factor, and an inherence factor.

Traditional authentication involves only one or two of the three factors mentioned earlier. For example, if you want to use a service like e-mail, traditional authentication involves knowing a username and its password. Knowledge can be stolen in a variety of ways and people can find out both your username and password, and then use that information to pose as you, or steal valuable information that can be used to harm you.

Spotify login: a username and a password are requested

In the real world, traditional verification may involve the knowledge factor and the possession factor. For example, when you go to an ATM to get cash, you use your debit or credit card (possession factor) and the PIN (a knowledge factor). However, both the PIN or the information on your credit card can be stolen in various ways, and unauthorized parties can make online transactions using your money. That's why the 3D Secure concept has been developed to provide an additional security layer for online credit and debit card transactions.

When using two-step verification in the digital world, a third factor is added: the possession factor - usually your smartphone or mobile phone. This device is used for the second stage of verifying your identity. For example, when you sign-in to your email account, you first provide your username and password. Then, you are asked to provide a time-based password that expires in a couple of seconds. This password can be sent to your email account, to your smartphone, or it can be generated by an authenticator app such as Google Authenticator or Microsoft Authenticator.

How two-factor authentication works

Some companies and services also provide physical authentication devices that continuously generate the codes you need to use to finalize the verification process. For example, many banks provide physical devices for two-step verification, so that you can access your bank account online. Also, PayPal does this for a number of countries, including the USA.

How does two-factor authentication work?

The implementations for two-step authentication are many, and we do not go into details about all of them because this article would become very long.

The most popular implementation is Google's approach based on the TOTP - Time-based One-time Password Algorithm. When two-step verification is enabled for your account, a special server generates a new password/code once every couple of seconds. The device sharing the password with you needs to be synchronized with the server so that the code you enter during the second authentication step matches the one on the server. If the device sharing the password is out of sync, you cannot complete the verification of your identity.

This algorithm is the most popular one found online. Many companies use it, including Google, Microsoft, Apple, Facebook, Evernote, Dropbox, WordPress, MailChimp, and LastPass.

To make it easier for you to understand how two-factor authentication works, let's take for example Fortnite, a popular online game that many people play. Once you have configured two-factor authentication (2FA) for your Epic Games account (the creators of Fortnite), it is no longer enough just to provide your username and password to log in. You also have to provide a secondary passcode to be able to do that.

Providing a 2FA passcode to sign into a Fortnite (Epic Games) account

The additional passcode is temporary, and you are the only one who knows it. No one else should be able to find it, as you can only get this code from an authenticator app (such as Google Authenticator) or from an email message you receive from Epic Games. The two-factor authentication codes change every couple of seconds, so they should be almost impossible to guess.

The Google Authenticator app on a smartphone

If you provide the correct two-factor authentication code, you are signed into your Fortnite account. For the next 30 days, you do not have to provide 2FA codes on the device on which you already signed in. However, at the end of the 30 days or if you try to log in from a new device, you have to provide a valid 2FA passcode again.

Two-factor authentication in the banking sector

Another popular approach is the one used by banks and credit card providers. It is named 3-D Secure, and it is used for approving financial transactions that are made online. This method of two-step verification involves three entities: the domain of the merchant or the bank to which the money is being paid, the domain of the bank which issues the card being used and the infrastructure that supports the 3-D protocol.

One-time password requested by a bank to access its online services

This protocol uses only secure SSL connections for making online transactions and, for a transaction to be approved, you need a special password, alongside your name and credit card details. This password may be temporary and time-based, or it may be permanent and set by you, the user. Another important aspect is that this password is not stored by the merchant or the bank to which money is being paid. The password is known only by the servers providing the infrastructure for the 3-D protocol. Therefore, if the merchant is hacked, hackers cannot get your 3-D Secure password.

Why do you need two-factor authentication?

The main reason why you should use two-step verification is to protect yourself. By using this additional layer of protection, you make it harder for unwanted parties to access your identity online and steal personal or financial data.

When using 3-D Secure for financial transactions, you make it harder for hackers to steal your money. It is easy for them to copy your card details but they are going to have a hard time getting your 3-D Secure password.

When should you use two-factor authentication?

Adding a secondary authentication step is annoying for everyone but necessary to keep our accounts and data private. We highly recommend that you enable and use two-step verification at least for the following types of services:

E-mail - your Inbox stores the biggest amount of personal data out of all your online accounts. People can spy on your email history, learn the username for your banking and PayPal accounts, learn more about your work, your relationships, and many other important details. Securing your inbox is the first thing you should do.
Online banking & financial transactions - if you do online banking, if you purchase stuff from Amazon, eBay or other online shops, you must secure your credit or debit card. Ask your bank about 3-D secure and the two-step verification options they offer, enable them and use them.
Storing your passwords - many security conscious people use services like LastPass, Roboform or KeePass. Securing them is crucial. If your account password is stolen, unauthorized parties have access to all your passwords and can do a lot of harm to you.
Social Networking - we all store lots of personal data on social networks such as Facebook, Twitter, or Instagram. If others get access to your data, they might find many things you would rather keep private. For example, if you have a jealous partner, they may already know your Facebook password and keep an eye on what you do. Protect yourself and enable two-factor authentication.

Two-step verification for your Gmail account

How to enable two-factor authentication for your most important accounts

In general, enabling two-factor authentication means that you have to log in to your online account and head to your password and security settings. Then, if you can use two-factor authentication for your account, you should find an option for it. If 2FA is available, enabling it means following a couple of steps in which you choose the method you prefer (usually, that is authentication via email or authenticator app on a smartphone). To help you out in enabling and using two-factor authentication, we have published a few guides that cover some of the most popular online services:

Also, if you are looking for an easy way to implement two-factor authentication in your own company, here is a short article about the benefits of an excellent solution of this kind: 7 things you can do with ESET Secure Authentication.

Have you enabled two-factor authentication on all your accounts?

We hope that you found this guide useful. If you have any questions or issues with understanding how two-step verification works, do not hesitate to leave a comment below.

Monica De Angelis

About the author

Sono uno sviluppatore iOS con oltre 10 anni di esperienza. Sono specializzato nello sviluppo di app per iPhone e iPad. Ho esperienza nella creazione di flussi utente, nella creazione di kit di sviluppo personalizzati (CDK) e nell'utilizzo di vari framework di sviluppo di app. Nel mio lavoro precedente, ho anche sviluppato strumenti per aiutare a gestire l'App Store di Apple, che includono uno strumento di gestione del prodotto e uno strumento di invio delle app.

Domande semplici: cos'è l'autenticazione a due fattori o la verifica in due passaggi?

Che cos'è l' autenticazione o la verifica^{(authentication or verification)} in due passaggi ?

Come funziona l' autenticazione^{(authentication work)} a due fattori ?

Autenticazione a due fattori nel settore bancario^{(banking sector)}

Perché è necessaria l'autenticazione a due fattori?

Quando dovresti usare l'autenticazione a due fattori?

Come abilitare l'autenticazione a due fattori per i tuoi account più importanti

Hai abilitato l'autenticazione a due fattori su tutti i tuoi account?

Simple questions: What is two-factor authentication or two-step verification?

What is two-step authentication or verification?

How does two-factor authentication work?

Two-factor authentication in the banking sector

Why do you need two-factor authentication?

When should you use two-factor authentication?

How to enable two-factor authentication for your most important accounts

Have you enabled two-factor authentication on all your accounts?

Monica De Angelis

About the author

Related posts

Come bloccare Remote Desktop sul tuo PC Windows

Come posso resettare la mia password Microsoft account?

Come configurare le impostazioni del server proxy in Windows 10

Come aggiungere e utilizzare un VPN in Windows 10 (tutto ciò che devi sapere)

Impedisci ad app e giochi di accedere a Internet con Windows Defender Firewall

Come impostare un server proxy in Chrome, Firefox, Edge e Opera

Come eliminare le connessioni VPN o PPPOE in Windows 8 e Windows 8.1

A proposito di InPrivate and Incognito. Qual è la navigazione privata? Which browser è il migliore?

Come localizzare il tuo Android smartphone con Find My Device

Domande semplici: cos'è Windows Firewall e come attivarlo o disattivarlo?

Come creare, configurare e utilizzare una connessione VPN in Windows 8 e 8.1

Come creare, configurare e utilizzare una connessione VPN su iPhone (o iPad)

Che cos'è il file Hosts in Windows? Come modificare etc/host?

Come bloccare automaticamente Windows 10 con il tuo smartphone

Come ripristinare le impostazioni di Windows Firewall (4 metodi)

Come infettare il tuo PC Windows mentre navighi sul Web gratuitamente

Domande semplici: cos'è un server proxy e cosa significa?

Come visualizzare e cancellare la tua attività fuori da Facebook

5 motivi per cui Windows Firewall è uno dei migliori firewall

ASUS AiProtection: On o OFF? Migliora la sicurezza del tuo router!

Domande semplici: cos'è l'autenticazione a due fattori o la verifica in due passaggi?

Che cos'è l' autenticazione o la verifica(authentication or verification) in due passaggi ?

Come funziona l' autenticazione(authentication work) a due fattori ?

Autenticazione a due fattori nel settore bancario(banking sector)

Perché è necessaria l'autenticazione a due fattori?

Quando dovresti usare l'autenticazione a due fattori?

Come abilitare l'autenticazione a due fattori per i tuoi account più importanti

Hai abilitato l'autenticazione a due fattori su tutti i tuoi account?

Simple questions: What is two-factor authentication or two-step verification?

What is two-step authentication or verification?

How does two-factor authentication work?

Two-factor authentication in the banking sector

Why do you need two-factor authentication?

When should you use two-factor authentication?

How to enable two-factor authentication for your most important accounts

Have you enabled two-factor authentication on all your accounts?

Monica De Angelis

About the author

Related posts

Come bloccare Remote Desktop sul tuo PC Windows

Come posso resettare la mia password Microsoft account?

Come configurare le impostazioni del server proxy in Windows 10

Come aggiungere e utilizzare un VPN in Windows 10 (tutto ciò che devi sapere)

Impedisci ad app e giochi di accedere a Internet con Windows Defender Firewall

Come impostare un server proxy in Chrome, Firefox, Edge e Opera

Come eliminare le connessioni VPN o PPPOE in Windows 8 e Windows 8.1

A proposito di InPrivate and Incognito. Qual è la navigazione privata? Which browser è il migliore?

Come localizzare il tuo Android smartphone con Find My Device

Domande semplici: cos'è Windows Firewall e come attivarlo o disattivarlo?

Come creare, configurare e utilizzare una connessione VPN in Windows 8 e 8.1

Come creare, configurare e utilizzare una connessione VPN su iPhone (o iPad)

Che cos'è il file Hosts in Windows? Come modificare etc/host?

Come bloccare automaticamente Windows 10 con il tuo smartphone

Come ripristinare le impostazioni di Windows Firewall (4 metodi)

Come infettare il tuo PC Windows mentre navighi sul Web gratuitamente

Domande semplici: cos'è un server proxy e cosa significa?

Come visualizzare e cancellare la tua attività fuori da Facebook

5 motivi per cui Windows Firewall è uno dei migliori firewall

ASUS AiProtection: On o OFF? Migliora la sicurezza del tuo router!

Che cos'è l' autenticazione o la verifica^{(authentication or verification)} in due passaggi ?

Come funziona l' autenticazione^{(authentication work)} a due fattori ?

Autenticazione a due fattori nel settore bancario^{(banking sector)}