Autenticazione a due fattori per la sicurezza delle informazioni aziendali

author
Michela De Maria 2023-02-16

Recentemente l’Agenzia per la Cybersicurezza Nazionale ha segnalato l’ultimo di una lunga serie di attacchi hacker che ha colpito imprese del settore pubblico e privato in oltre 10 nazioni, tra cui l’Italia. Si tratta del ransomware, un tipo di “software malevolo” che penetra abusivamente i sistemi aziendali bloccandone varie funzionalità per prendere i dati e richiederne un riscatto monetario.

Una pratica sempre più diffusa tanto che la Polizia delle Telecomunicazioni ha registrato oltre 13.000 tentativi di intrusione nel solo 2022 con un incremento del 50% rispetto all’anno precedente.

Sicurezza informatica e protezione degli accessi sono da sempre una prerogativa aziendale che può essere difesa al meglio alzando gli standard di verifica con l’autenticazione a due fattori. Ma di cosa si tratta?

Cosa s’intende per autenticazione a due fattori?

L’autenticazione a due fattori (2FA) è il metodo più sicuro per controllare, verificare e difendere dati, accessi o informazioni sensibili grazie ad alcune tecniche di riconoscimento dell’identità. La strong authentication serve per aumentare i livelli di protezione aggiungendo un secondo passaggio al semplice inserimento di nome utente e password necessari per accedere a un sistema. Per autentificarsi, un’azienda può procedere in 3 diversi modi chiedendo all’utente di “rispondere” a quesiti legati all’ambito di:

  • Conoscenza: un’informazione che solo l’utente può sapere, per esempio un PIN;

  • Possesso: un oggetto che ha fisicamente la persona che si sta identificando, per esempio carta di credito, applicazione certificata, chiavetta o token di sicurezza;

  • Inerenza: un elemento distintivo che identifica l’utente in modo univoco come impronta digitale, il timbro vocale, il viso, la retina o l’iride.

Disattivare autenticazione a due fattori: perché è un pericolo?

L’autenticazione 2fa si basa sull’utilizzo di due fattori appartenenti alle matrici di “una cosa che sai”, “una cosa che hai” e “una cosa che sei”. Queste tipologie di informazioni sono conosciute solo dallo user che ha intenzione di accedere e utilizzare un servizio, quindi assicurano alta sicurezza informatica. Inoltre, il secondo fattore richiesto dal sistema è un codice numerico, detto OTP, inviato sullo smartphone. Questa one-time-password è inattaccabile perché generata in automatico da uno specifico algoritmo e ha una durata di massimo 30 secondi.

Disattivare autenticazione a due fattori implica esporre l’utente e i sistemi aziendali a rischi significativi di hackeraggio. Infatti, nome utente e password possono essere facilmente individuati dai malintenzionati attraverso tecniche di brute force, ovvero operazioni di cifratura e decifratura con software speciali per craccare gli account e scoprire le credenziali. Inoltre, disabilitare questo passaggio di verifica significa non avvisare i clienti con avvisi sui tentativi di accesso e non garantire il controllo dei movimenti sulla piattaforma.

Codice OTP cellulare: è utile via SMS?

Come già anticipato nel precedente paragrafo, il codice OTP è una password usa e getta di 6-8 cifre valida solo per una singola sessione di accesso o una transazione. Questa informazione numerica può essere inoltrata all’utente attraverso una Authenticator App oppure via SMS. I messaggi sono stati ampiamente utilizzati come canali per inviare i codici temporanei dello spid, delle poste e addirittura per confermare la prenotazione del vaccino. Perché scegliere gli SMS per la one-time-password? Ecco i vantaggi:

  • Consegna rapida del messaggio al mittente

  • Connessione dati e internet non richiesta

  • Copertura globale

OTP banca per una maggior sicurezza

Finance & Banking è il settore più colpito dal cybercrimine. A confermarlo, il report dell’Osservatorio Cybersecurity di Exprivia, gruppo internazionale specializzato in Information and Communication Technology, che registra una media di 700 attacchi hacker a settimana, con un aumento del 53% rispetto all’anno precedente. Si tratta principalmente di malware per la manipolazione di una transazione, ma anche di phishing per il furto di credenziali di accesso, di attacchi diretti all'infrastruttura dell'istituzione finanziaria e di hacking della e-banking. Questi incidenti informatici recano gravi danni alla sicurezza dell’utente, ma soprattutto alla reputazione della banca.

Per prevenire i tentativi di intrusione nella home banking, molti sistemi bancari hanno abilitato la strong authentication con codice OTP in fase di:

  • Login per consentire l’autenticazione e, conseguentemente, l’accesso a tutti i dati relativi al proprio conto e ai servizi di internet banking;

  • Autorizzazione per effettuare i pagamenti online (per eseguire bonifici, ricaricare il cellulare o la carta prepagata).

La password temporanea è utile anche per autorizzare altre operazioni come:

  • Versamento del bollo auto

  • Donazioni for funding

  • Pagamento del parcheggio

  • Prelievo SOS

  • Trasferimento contati da un conto all’altro

  • Configurazione di una nuova carta di credito

In questo modo, le banche hanno la possibilità di monitorare gli accessi e movimenti sospetti per evitare frodi informatiche. Un processo che può essere automatizzato con una soluzione di SMS Gateway. Per sapere le feature fondamentali di una piattaforma di invio sms per aziende, leggi ora il nostro ultimo articolo.

Contattaci!

Vuoi approfondire le soluzioni CPaaS di LINK Mobility Italia pensate per il mondo finance & banking?

Ebook e Articoli correlati

Conversational Banking: 3 casi d'uso con WhatsApp, Messaggi RCS e SMS

Leggi di più

Proteggere canali, comunicazioni e brand reputation

Download

Messaggi RCS: il canale anti-phishing

Leggi di più