Autenticazione a due fattori

da Merry Marwig, CIPP/US

Che cos'è l'autenticazione a due fattori (2FA) e perché è importante come funzionalità software?

Definizione Software Autenticazione a due fattori

Che cos'è l'autenticazione a due fattori?

L'autenticazione a due fattori—comunemente chiamata 2FA, verifica in due passaggi, verifica a 2 passaggi o autenticazione a doppio fattore—è una procedura di sicurezza che richiede agli utenti di un account di verificare la propria identità in due modi diversi prima di concedere loro l'accesso agli account utente. Questo processo è una forma di autenticazione multifattoriale che richiede esattamente due forme dei cinque fattori di autenticazione comunemente accettati. Molte aziende utilizzano software di autenticazione multifattoriale (MFA) per raggiungere questo obiettivo.

L'autenticazione a due fattori è più sicura dell'autenticazione a fattore singolo, che è tipicamente un fattore di conoscenza (qualcosa che un utente conosce), come nome utente e password. Le forme più comuni di secondo fattore di autenticazione sono le password monouso (OTP) inviate tramite SMS ed email o derivate da un'app di autenticazione o token hardware.

Software Autenticazione a due fattori

Software che menzionano autenticazione a due fattori come caratteristica o termine.

Tipi di autenticazione a due fattori

I cinque fattori di autenticazione comunemente accettati sono conoscenza, possesso, inerzia, posizione e comportamento.

Conoscenza: Questo fattore richiede agli utenti di autenticarsi con qualcosa che sanno. L'autenticazione a fattore singolo più comune è l'autenticazione basata su password. Questa è considerata insicura perché le persone possono usare password deboli o password facilmente compromesse.
Possesso: Questo fattore di autenticazione richiede agli utenti di autenticarsi con qualcosa che possiedono. Gli utenti devono fornire le informazioni che hanno, di solito un codice fornito da un'app di autenticazione sui loro dispositivi mobili, SMS o messaggio di testo, token software (token soft) o token hardware (token hard). Il codice fornito può essere una password monouso basata su HMAC (HOTP) che non scade fino a quando non viene utilizzata o una password monouso basata sul tempo (TOTP) che scade in 30 secondi.
Inerzia: Questo richiede agli utenti di autenticarsi con ciò che sono. Tiene conto di qualcosa di unico per l'utente, come i fattori biometrici. L'autenticazione biometrica può includere scansioni delle impronte digitali, geometria delle dita, scansioni del palmo o della geometria della mano e stampe facciali. L'uso di software di autenticazione biometrica sta diventando sempre più comune poiché i login biometrici sui dispositivi mobili, inclusi software di riconoscimento facciale e capacità di scansione delle impronte digitali, hanno guadagnato popolarità tra i consumatori. Altri metodi di autenticazione biometrica, come il riconoscimento della forma dell'orecchio, le impronte vocali, le scansioni della retina, le scansioni dell'iride, il DNA, l'identità dell'odore, i modelli di andatura, i modelli delle vene, l'analisi della scrittura e della firma e il riconoscimento della digitazione, non sono ancora stati ampiamente commercializzati per scopi di autenticazione.
Posizione: Il fattore di posizione richiede agli utenti di autenticarsi con dove si trovano e quando. Considera la posizione geografica di un utente e il tempo impiegato per arrivarci. Questa forma di autenticazione è comunemente utilizzata in software di autenticazione basata sul rischio. Di solito, questi metodi di autenticazione non richiedono a un utente di autenticare attivamente queste informazioni, invece, questo avviene in background quando si determina il rischio di autenticazione di un utente specifico. Questo tipo di autenticazione verifica la geolocalizzazione di un utente, che indica dove si trova attualmente, e la sua geovelocità, che è il tempo ragionevole che impiega una persona per viaggiare verso una determinata posizione. Ad esempio, se un utente si autentica con un fornitore di software MFA a Chicago e 10 minuti dopo tenta di autenticarsi da Mosca, c'è un problema di sicurezza.
Comportamento: Questo fattore richiede agli utenti di autenticarsi con qualcosa che fanno. Si riferisce a gesti specifici o modelli di tocco che gli utenti generano. Ad esempio, utilizzando un touchscreen, gli utenti possono creare una password immagine in cui disegnano cerchi, linee rette o toccano un'immagine per creare una password gesto unica.

Vantaggi dell'uso dell'autenticazione a due fattori

Il vantaggio dell'autenticazione a due fattori è l'aumento della sicurezza dell'account. Richiedere un passaggio di autenticazione aggiuntivo per verificare l'identità digitale di un utente aiuta a garantire che solo gli utenti autorizzati possano accedere e avere accesso a specifici account utente. La verifica aggiuntiva aiuta le aziende a prevenire sia le minacce interne, come i dipendenti non autorizzati, sia le minacce esterne, come gli hacker, dall'accesso a account riservati. I vantaggi dell'autenticazione a due fattori includono:

Migliorata sicurezza dell'account: Lo scopo principale dell'autenticazione a due fattori è per una maggiore sicurezza dell'account.
Processo di login semplificato per l'utente: Un vantaggio secondario dell'uso dell'autenticazione a due fattori è un'esperienza di login semplificata per gli utenti finali. Alcuni utenti possono avere pratiche di gestione delle password scadenti. Consentire agli utenti di autenticarsi in modi che non richiedono una password può ridurre l'affaticamento da password.
Rispettare i requisiti di conformità normativa: molte leggi sulla protezione dei dati a livello globale richiedono alle aziende di adottare misure di autenticazione forti. L'adozione della 2FA può aiutare le aziende a soddisfare questi requisiti.

Impatto dell'uso dell'autenticazione a due fattori

Praticamente tutte le aziende, in particolare le aziende tecnologiche, richiedono una qualche forma di autenticazione utente per accedere a software, sistemi o altre risorse protette. La forma più comune di autenticazione, un fattore singolo, che è spesso solo un nome utente e una password, si è dimostrata insicura. Questo ha spinto la necessità di richiedere due fattori di autenticazione prima di concedere l'accesso all'account.

Poiché le aziende cercano di diventare ancora più sicure, molte stanno richiedendo più di due fattori di autenticazione, per creare un processo di autenticazione veramente multifattoriale.

Best practice per l'autenticazione a due fattori

Per far funzionare l'autenticazione a due fattori, le aziende dovrebbero seguire queste best practice:

Assicurarsi che siano offerti più metodi di autenticazione agli utenti finali; l'autenticazione utilizzando due dello stesso tipo di fattore (come due password per due sfide di conoscenza) non è considerata autenticazione a due fattori
Assicurarsi che i tipi di autenticazione siano supportati dal software utilizzato dall'azienda
Assicurarsi che siano considerati i casi d'uso per le autenticazioni online e offline

Autenticazione a due fattori vs. autenticazione multifattoriale (MFA)

L'autenticazione a due fattori è una forma di MFA.

MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.

Autenticazione a due fattoriChe cos'è l'autenticazione a due fattori (2FA) e perché è importante come funzionalità software?https://www.g2.com/glossary/two-factor-authentication-definitionhttps://learn.g2.com/hubfs/Two-factor%20authentication.png2021-10-22 07:45:41 -0500

Merry Marwig, CIPP/USMerry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.https://learn.g2.com/author/merry-marwighttps://learn.g2.com/hubfs/merry-marwigupdated.jpeghttps://www.linkedin.com/in/marwig/

Software Autenticazione a due fattori

Questo elenco mostra i principali software che menzionano autenticazione a due fattori di più su G2.

Google Authenticator

(533)4.6 su 5

Google Authenticator è un'applicazione mobile sviluppata da Google che migliora la sicurezza degli account online attraverso l'autenticazione a due fattori (2FA). Generando password monouso basate sul tempo (TOTP), aggiunge un ulteriore livello di protezione oltre alle password tradizionali, garantendo che solo gli utenti autorizzati possano accedere ai loro account. L'app è compatibile con dispositivi Android, iOS e BlackBerry, rendendola uno strumento versatile per gli utenti che cercano di rafforzare la loro sicurezza online. Caratteristiche principali e funzionalità: - Password monouso basate sul tempo (TOTP): Genera codici a sei cifre che si aggiornano ogni 30 secondi, fornendo token di sicurezza dinamici per la verifica degli account. - Supporto per account multipli: Consente agli utenti di gestire l'autenticazione per vari account all'interno di un'unica app, semplificando il processo di 2FA. - Funzionalità offline: Funziona senza la necessità di una connessione di rete o cellulare, garantendo l'accesso ai codici di autenticazione in qualsiasi momento e ovunque. - Configurazione tramite codice QR: Facilita l'aggiunta rapida e semplice degli account scansionando i codici QR, semplificando il processo di configurazione. - Sincronizzazione degli account: Permette agli utenti di sincronizzare i loro codici di autenticazione su più dispositivi collegandoli al loro account Google, garantendo continuità anche se un dispositivo viene perso. - Schermo di privacy: Introduce una misura di sicurezza aggiuntiva richiedendo le credenziali del dispositivo (PIN, impronta digitale o riconoscimento facciale) per accedere all'app, proteggendo i codici di autenticazione sensibili da accessi non autorizzati. Valore principale e benefici per l'utente: Google Authenticator risponde alla crescente necessità di una maggiore sicurezza online fornendo un metodo affidabile e facile da usare per implementare l'autenticazione a due fattori. Generando codici sensibili al tempo che sono richiesti oltre alle password standard, riduce significativamente il rischio di accesso non autorizzato agli account, anche se le credenziali di accesso sono compromesse. La funzionalità offline dell'app assicura che gli utenti possano accedere ai loro codici di autenticazione senza fare affidamento sulla connettività di rete, offrendo tranquillità in vari scenari. Inoltre, funzionalità come la sincronizzazione degli account e lo schermo di privacy migliorano sia l'usabilità che la sicurezza, rendendo Google Authenticator uno strumento prezioso per individui e organizzazioni che mirano a proteggere i loro beni digitali.

Cisco Duo

(487)4.5 su 5

Duo è una piattaforma di sicurezza degli accessi basata su cloud progettata per proteggere l'accesso a qualsiasi applicazione, da qualsiasi dispositivo. L'autenticazione senza password di Duo, il single sign-on (SSO) e l'autenticazione multi-fattore user-friendly rendono i login sicuri facili per gli utenti, riducendo l'attrito nel loro flusso di lavoro.

Twilio Verify

(68)4.6 su 5

App per smartphone di autenticazione a due fattori per i consumatori, API Rest 2fa più semplice per gli sviluppatori e una piattaforma di autenticazione forte per l'impresa.

1Password

(1,671)4.6 su 5

1Password ricorda le tue password per te — e ti aiuta a renderle più forti. Tutti i tuoi segreti sono sicuri e sempre disponibili, protetti dietro l'unica password che solo tu conosci.

LastPass

(1,947)4.4 su 5

Le soluzioni aziendali di LastPass aiutano i team e le imprese a prendere il controllo della gestione delle identità con la gestione delle password, il single sign-on (SSO) e l'autenticazione multifattoriale adattiva (MFA).

Google Workspace

(47,388)4.6 su 5

Google Workspace consente ai team di tutte le dimensioni di connettersi, creare e collaborare. Include strumenti di produttività e collaborazione per tutti i modi in cui lavoriamo: Gmail per email aziendali personalizzate, Drive per l'archiviazione cloud, Docs per l'elaborazione di testi, Meet per videoconferenze e conferenze vocali, Chat per la messaggistica di gruppo, Slides per la creazione di presentazioni, Calendari condivisi e molti altri.

Keeper Password Manager

(1,179)4.6 su 5

Archivia, condividi e gestisci in modo sicuro le tue password, accessi, numeri di carte di credito, conti bancari e informazioni private nel tuo caveau digitale crittografato.

Intuit Mailchimp Email Marketing

(12,873)4.3 su 5

Mailchimp è la piattaforma numero 1 per l'email marketing e le automazioni per le aziende in crescita. Più di 12 milioni di aziende, tra cui TEDTalks, Shutterstock, Boston Market, Nikon India, si affidano a Mailchimp per trasformare le loro email in entrate.

Box

(5,160)4.2 su 5

Box è il leader nella gestione intelligente dei contenuti, aiutando i team a gestire, collaborare e automatizzare il loro lavoro in modo sicuro con strumenti potenziati dall'IA. Fornisce una piattaforma sicura per l'intero ciclo di vita dei contenuti, dalla memorizzazione e condivisione alla firma, automazione e attivazione dei contenuti con l'IA. Con Box AI, i team possono interrogare documenti, riassumere rapporti e semplificare i processi tra i dipartimenti. Box applica sicurezza avanzata e conformità con le certificazioni HIPAA, GDPR, FINRA e FedRAMP, oltre a barriere di sicurezza IA che proteggono i dati in movimento e a riposo. Affidato da AstraZeneca, Morgan Stanley e l'Aeronautica degli Stati Uniti, Box alimenta la collaborazione critica per la missione in settori regolamentati e aziende globali. Con oltre 1.500 integrazioni, tra cui Microsoft 365, Google Workspace, Salesforce, Slack e DocuSign, Box si connette senza problemi con i tuoi strumenti quotidiani. Le API e gli SDK consentono la personalizzazione affinché Box si adatti ai tuoi flussi di lavoro.

Dropbox

(30,847)4.4 su 5

Dropbox ti consente di salvare e accedere a tutti i tuoi file e foto in un unico luogo organizzato e di condividerli con chiunque. Che tu gestisca un'attività da solo o guidi un grande e complesso team, Dropbox aiuta il tuo lavoro a fluire meglio.

Okta

(1,163)4.5 su 5

Okta è l'azienda di identità del mondo™. Come il principale partner indipendente per l'identità, liberiamo tutti per utilizzare in sicurezza qualsiasi tecnologia — ovunque, su qualsiasi dispositivo o app. I marchi più fidati si affidano a Okta per abilitare l'accesso sicuro, l'autenticazione e l'automazione. Con flessibilità e neutralità al centro delle nostre soluzioni Okta Workforce Identity e Customer Identity Clouds, i leader aziendali e gli sviluppatori possono concentrarsi sull'innovazione e accelerare la trasformazione digitale, grazie a soluzioni personalizzabili e a più di 7.000 integrazioni pre-costruite. Stiamo costruendo un mondo in cui l'identità appartiene a te. Scopri di più su okta.com.

TeamViewer

(3,723)4.5 su 5

Software di supporto remoto e accesso facile da usare che ti consente di connetterti e monitorare in modo sicuro da desktop a desktop, da desktop a mobile, da mobile a mobile o a dispositivi non presidiati come server e dispositivi IoT da qualsiasi luogo.

Microsoft Teams

(17,669)4.4 su 5

Microsoft Teams è una piattaforma di collaborazione completa sviluppata da Microsoft, progettata per ottimizzare la comunicazione e il lavoro di squadra all'interno delle organizzazioni. Integra chat, videoconferenze, archiviazione di file e integrazione di applicazioni in un'unica interfaccia, facilitando la collaborazione senza interruzioni su vari dispositivi e sistemi operativi. Come parte della suite Microsoft 365, Teams migliora la produttività fornendo un hub centralizzato per le interazioni del team e la gestione dei progetti. Caratteristiche e Funzionalità Principali: - Chat e Messaggistica: Facilita la comunicazione testuale in tempo reale con individui o gruppi, supportando testo arricchito, emoji, adesivi e GIF. - Videoconferenze: Offre riunioni video di alta qualità con funzionalità come condivisione dello schermo, sfondi personalizzati e sottotitoli in tempo reale, adatte sia per piccoli incontri di team che per grandi webinar. - Condivisione e Collaborazione di File: Consente l'archiviazione e la condivisione sicura di file tramite l'integrazione con OneDrive e SharePoint, permettendo a più utenti di co-autore documenti simultaneamente. - Integrazione con Applicazioni: Supporta l'integrazione con una vasta gamma di applicazioni Microsoft e di terze parti, migliorando l'efficienza del flusso di lavoro portando vari strumenti in un'unica piattaforma. - Sicurezza e Conformità: Fornisce misure di sicurezza di livello aziendale, inclusa la crittografia dei dati per riunioni, chat, chiamate e file, garantendo la conformità agli standard del settore. Valore Primario e Soluzioni Fornite: Microsoft Teams affronta le sfide della collaborazione nel moderno ambiente di lavoro unificando i canali di comunicazione, riducendo la necessità di molteplici strumenti disparati. Migliora la produttività del team centralizzando le risorse, facilitando la collaborazione in tempo reale e garantendo la condivisione sicura delle informazioni. Integrandosi con l'ecosistema più ampio di Microsoft 365, Teams offre un ambiente coeso che supporta il lavoro remoto, i team ibridi e la collaborazione in presenza, adattandosi alle diverse esigenze della forza lavoro odierna.

GitHub

(2,291)4.7 su 5

GitHub è il posto migliore per condividere codice con amici, colleghi, compagni di classe e perfetti sconosciuti. Oltre due milioni di persone usano GitHub per costruire cose straordinarie insieme.

Zoho Vault

(75)4.4 su 5

Zoho Vault è un software di gestione delle password online che consente alle aziende di memorizzare, condividere e gestire in modo sicuro le password e altri dati sensibili e di accedervi da qualsiasi luogo.

Microsoft OneDrive for Business

(10,118)4.3 su 5

Con Microsoft OneDrive puoi archiviare qualsiasi file sul tuo SkyDrive ed è automaticamente disponibile dal tuo telefono e computer. Non sono necessari sincronizzazioni o cavi.

PayPal Payments

(2,650)4.4 su 5

PayPal Payments è una soluzione completa per l'elaborazione dei pagamenti progettata per consentire alle aziende di tutte le dimensioni di accettare pagamenti senza problemi dai clienti di tutto il mondo. Integrando PayPal Payments, i commercianti possono offrire una varietà di opzioni di pagamento, migliorando l'esperienza di checkout e potenzialmente aumentando i tassi di conversione. Caratteristiche e Funzionalità Principali: - Accettazione Globale dei Pagamenti: Supporta transazioni in oltre 200 mercati e 140 valute, consentendo alle aziende di soddisfare una clientela diversificata. - Metodi di Pagamento Multipli: Consente ai clienti di pagare utilizzando carte di credito e debito, saldi PayPal e altri metodi di pagamento locali, offrendo flessibilità e convenienza. - Integrazione Senza Soluzione di Continuità: Compatibile con le principali piattaforme di eCommerce, facilitando l'integrazione nei negozi online esistenti. - Misure di Sicurezza Avanzate: Incorpora strumenti di protezione antifrode robusti e funzionalità di conformità per proteggere sia i commercianti che i clienti. - Servizi Finanziari: Offre accesso a prestiti aziendali e capitale circolante, assistendo i commercianti nella gestione e nell'espansione delle loro operazioni. Valore Primario e Soluzioni Fornite: PayPal Payments affronta la necessità critica per le aziende di offrire opzioni di pagamento sicure, efficienti e versatili ai loro clienti. Sfruttando l'ampia rete e la reputazione affidabile di PayPal, i commercianti possono migliorare la fiducia dei clienti, semplificare i processi di pagamento ed espandere la loro portata ai mercati internazionali. La suite completa di strumenti della piattaforma non solo facilita l'accettazione dei pagamenti, ma supporta anche la crescita aziendale attraverso servizi finanziari e approfondimenti operativi.

Bitwarden

(920)4.7 su 5

Bitwarden fornisce a imprese e individui il potere di gestire e condividere in modo sicuro le informazioni online con soluzioni di sicurezza open source affidabili. Progettato per organizzazioni di tutte le dimensioni, Bitwarden Enterprise Password Manager consente ai team di memorizzare, accedere e condividere in modo sicuro credenziali, chiavi di accesso e informazioni sensibili mantenendo il completo controllo sulla loro postura di sicurezza.

YubiKey

(34)4.7 su 5

YubiKey è un piccolo dispositivo USB e NFC che supporta più protocolli di autenticazione e crittografia, protegge l'accesso a computer, reti e servizi online per le organizzazioni.