Dove l'autenticazione a due fattori non è all'altezza

I web designer sono costantemente bombardati da consigli sulla sicurezza. Siamo informati sulle best practice, le falle di sicurezza e le relative patch richieste. È abbastanza per farti girare la testa.

Naturalmente, tutto questo è importante e ben intenzionato. La sicurezza online è un obiettivo in costante movimento, in cui anche i giocatori più grandi sono suscettibili. Pertanto, sta a noi stare al passo con gli ultimi sviluppi.

L'autenticazione a due fattori (2FA) è stata tra le tecnologie più pubblicizzate per proteggere gli account online. Lo vedi essere implementato ovunque, dalle banche ai social media. E può essere facilmente installato anche sul tuo sito web.

Sebbene la 2FA possa essere efficace nel contrastare l'accesso non autorizzato ai nostri account, presenta anche alcuni svantaggi potenzialmente importanti. Di recente, l'ho sperimentato in prima persona. Quello che segue è uno sguardo a cosa è successo e al caos che ha contribuito a creare.

Diverse implementazioni tra provider, con un thread comune

Come quasi tutte le altre tecnologie, l'autenticazione a due fattori può essere implementata in diversi modi. Gli utenti possono autenticarsi tramite un messaggio SMS, e-mail o un codice di verifica da un'app come Google Authenticator. Potrebbero anche selezionare una foto attendibile che venga visualizzata ad ogni accesso, assicurandosi che non si trovino su un sito di phishing.

A volte un fornitore di servizi ti darà una scelta. Ma abbastanza spesso sei bloccato con qualunque metodo offrono. Più account proteggi tramite 2FA, più tutto diventa complicato.

Ad esempio, molti posti utilizzano i messaggi SMS per il tuo telefono. Ma poi di nuovo alcuni richiederanno anche quell'app di autenticazione. Altri ancora avranno una visione diversa. La sfida consiste nel cercare di tenere traccia di chi utilizza quale tecnologia e assicurarsi di avere gli strumenti giusti a portata di mano.

Ma sembra che la maggior parte dei metodi abbia un'unica caratteristica in comune: si basano sul tuo dispositivo mobile per funzionare. Questo è sicuramente conveniente. Tuttavia, cosa succede se succede qualcosa a quel dispositivo?

Un telefono guasto porta al caos

Questa è la situazione in cui mi sono trovato, poiché la connessione dati mobile sul mio telefono Android è andata in tilt. I messaggi di testo venivano ritardati di ore o non venivano consegnati affatto. Un membro della famiglia residente nella stessa casa e sulla stessa rete ha ricevuto bene i propri messaggi. Questo mi ha portato a credere che si trattasse di una sorta di guasto hardware.

Come si fa in questa situazione, ho provato una serie di rimedi. Ciò includeva la temuta "opzione nucleare" del ripristino delle impostazioni di fabbrica del mio telefono. Vale la pena provare, vero?

Il problema qui era duplice. Innanzitutto, non è stato risolto il problema dei messaggi di testo. Ancora peggio è che mi ha disconnesso da tutti i miei vari account. Google, Facebook, Twitter, ecc. sono stati tutti bombardati. Forse è meglio per la mia salute mentale, ma probabilmente non così buono per lavoro/gioco.

Tentare di accedere nuovamente a ciascuno di questi account non è stato così facile. Come mai? A causa della 2FA, ovviamente.

Google è stato particolarmente duro, poiché le uniche due opzioni che mi ha dato erano legate al mio telefono. Voleva mandarmi un messaggio, ma non avrebbe funzionato. E hanno anche consentito un codice di Google Authenticator. Sarebbe stato fantastico, ma mi è stato richiesto di accedere al mio account Google per poter accedere al codice.

La soluzione era finalmente avviare il mio computer desktop e disattivare temporaneamente 2FA per Google (questo non gli piaceva davvero ). Dolce sollievo, ho riavuto il mio Gmail.

Per divertirmi ancora di più, ho dovuto ripetere un processo simile con molti altri account. Ironia della sorte, non riesco ad accedere al mio banking online tramite il mio desktop, poiché si basa sulla verifica tramite SMS. Tuttavia, posso accedervi sul mio telefono perché non esiste tale requisito. Il solo pensiero di questo mi fa sudare freddo.

Ovviamente la mia situazione non è unica. Chiunque non abbia accesso al proprio dispositivo mobile potrebbe facilmente trovarsi nella stessa barca.

Lezioni imparate

Le frustrazioni associate alla 2FA possono essere utili come momento di insegnamento. Quelli di noi che costruiscono siti Web per vivere si danno una pacca sulla spalla per aumentare la sicurezza, ed è giusto che sia così. Ma l'implementazione di questa tecnologia in sé e per sé non è la fine della nostra missione.

Invece, ci vuole una riflessione seria. Ecco alcune cose da tenere a mente prima di aggiungere l'autenticazione a due fattori al tuo sito web:

2FA non deve necessariamente essere un requisito

Si è tentati di costringere gli utenti a utilizzare l'autenticazione a due fattori. E in determinate circostanze ad alto rischio questo ha senso.

Ma per la maggior parte dei siti, potresti invece prendere in considerazione l'utilizzo di requisiti di password rigorosi. Ad esempio, se gestisci un sito di appartenenza che non contiene nulla di segreto, 2FA potrebbe essere facoltativo. Ma forse chiedi agli utenti di cambiare le password ogni sei mesi.

È leggermente meno fastidioso per gli utenti e, si spera, meno lavoro di supporto per te. E non dimenticare l'accessibilità. Nonostante le ipotesi, non tutti hanno accesso a più dispositivi.

Fornire alternative

Sebbene possa essere difficile dal punto di vista della manutenzione, offrire più di un singolo metodo di 2FA potrebbe essere vantaggioso. Gli utenti possono scegliere il sapore che funziona meglio per loro. Oppure, in un pizzico, potrebbero persino cambiare ciò che stanno utilizzando se il loro dispositivo mobile non è più disponibile.

A parte questo, offri almeno un modo semplice per le persone di contattarti in caso di problemi. È incredibilmente frustrante quando non puoi accedere al tuo account e non c'è nessuno lì ad aiutarti.

Aspettati alcune sfide

È possibile fare tutto bene e continuare a imbattersi in utenti che hanno problemi di accesso. Ad esempio, alcune implementazioni 2FA offrono codici di backup monouso. Sono ottimi per i momenti in cui il metodo di autenticazione scelto non funziona.

Tuttavia, non tutti si prenderanno il tempo per salvare o stampare questi codici (di sicuro non l'ho fatto). Pertanto, è importante prepararsi per gli inevitabili problemi che si verificheranno.

L'autenticazione a due fattori è utile, ma tutt'altro che perfetta

Tutto sommato, ci sono molte ragioni per apprezzare la 2FA. Può essere abbastanza semplice da implementare e aiuta a prevenire l'accesso non autorizzato ai dati degli utenti. E sono disponibili diversi metodi.

Non è privo di difetti, però. Come ho scoperto, un telefono traballante può causare molti problemi. L'impossibilità di accedere ai tuoi account più importanti ti blocca la vita. Immagina di non poter accedere al tuo conto in banca e nemmeno al tuo gestore di telefonia mobile.

Quindi, con tutti i mezzi, aggiungi l'autenticazione a due fattori ai tuoi siti Web e alle tue app. Ma pianifica in anticipo e cerca di rendere il processo indolore per gli utenti. Puoi aspettarti un ambiente più sicuro, ma non aspettarti miracoli.