Parlare di autenticazione multifattore è come parlare della porta dell’ufficio. Se chiudendola a chiave si garantisce la sicurezza della stanza, è chiaro che adottando una misura aggiuntiva la protezione aumenta. Per esempio, si potrebbe aggiungere un lettore biometrico di impronte digitali. E magari una videocamera a circuito chiuso. E aggiungere un’inferriata alla finestra. Insomma, quattro soluzioni, è evidente, sono meglio di una.
Il concetto è più sottile e matematico di quanto si possa pensare: data la probabilità di bypassare in modo malevolo un singolo sistema di autenticazione, moltiplicandola per quella di ciascun sistema aggiuntivo utilizzato la probabilità di intrusione si abbassa. E la sicurezza aumenta.
Una soluzione che conosciamo
In realtà non si tratta di una qualche tecnologia esotica, perché ci si ha a che fare ogni giorno. Si pensi, per esempio, a quei servizi di posta elettronica che, dopo aver inserito la password (primo fattore di autenticazione), chiedono di inserire un codice che si riceve via SMS (secondo fattore di autenticazione). È un sistema di autenticazione a due fattori.
Del tutto simile è il classico ATM: per prelevare il contante è richiesto di possedere un determinato di badge e conoscerne il relativo codice PIN. Unendo i due esempi, si potrebbe pensare a un ATM che funziona con il badge, una password, un PIN e un codice da ricevere via SMS, ma è chiaro che a quel punto la soluzione, per quanto molto più sicura, non sarebbe molto comoda da utilizzare.
Ecco, benché in linea teorica l’autenticazione multifattore si presti a essere la più sicura, è chiaro che occorre trovare il giusto compromesso tra protezione e praticabilità.
È per questo che si tende ad accorpare tipologie di autenticazione complementari. Ed è per questo che tali soluzioni sono scelte sulla base di uno schema noto: qualcosa che si ha, qualcosa che si sa, qualcosa che si è, un posto dove si è. Selezionare un fattore per almeno due di queste tipologie è il metodo migliore per costruire una buona strategia di autenticazione multifattore.
Tornando all’esempio del bancomat, oltre al badge (qualcosa che si ha) e al PIN (qualcosa che si sa), si potrebbe associare un sistema di riconoscimento biometrico (qualcosa che si è) e uno legato alla geolocalizzazione basato sul proprio smartphone (un posto dove si è). Certo, sempre complicato, ma più tollerabile, specie se applicato a un contesto più restrittivo e sensibile di un normale bancomat, dove si è disposti a rinunciare a un po’ di comodità in favore di una maggior sicurezza.
Una combinazione di fattori
L’autenticazione multifattore è paragonabile a un piatto gourmet dove la differenza è fatta dalla scelta di pochi ma selezionati ingredienti che si sposano alla perfezione tra loro. E la metafora culinaria non viene a caso: l’autenticazione multifattore è una strategia di sicurezza che, a seconda dei fattori scelti, può essere molto semplice ed economica da implementare, perché si basa su tecnologie già disponibili e collaudate. Il punto di forza, in questo caso, arriva dalla loro combinazione.
In quest’ottica, ecco che lo smartphone rappresenta una scelta quasi imprescindibile, poiché in un unico dispositivo è possibile ritrovare molte di queste tecnologie, che si tratti di lettura biometrica, geolocalizzazione o ricevimento di un token. Soprattutto, si tratta di un dispositivo accessibile da chiunque e a basso costo.
La scelta dell’autenticazione multifattore, specie in ambito aziendale, rientra nel ristretto novero di soluzioni capaci di un buon livello di protezione, costi accessibili, versatilità e semplicità d’implementazione in qualsiasi realtà. E permette di superare il concetto, ormai superato e pericoloso, di sicurezza legata alla semplice password, che tra malware, data breach e furti di insider, ha dimostrato ormai tutte le sue limitazioni.