Ciò consente però a chiunque di effettuare tentativi di accesso sfruttando la debolezza dei tradizionali sistemi di verifica dell’identità.
L’accesso dell’utente avviene solitamente inserendo un proprio identificativo (username) ed una stringa di verifica (password) in una schermata di login. Questa tecnica fornisce una sicurezza limitata per vari motivi. Lo username è facilmente individuabile in quanto rispecchia solitamente l’identità dell’utente e può quindi corrispondere al nome, al cognome o ad una combinazione di questi due elementi. La password, a prescindere dalla sua complessità, può essere trascritta, inoltrata e sottratta.
E’ evidente che tale modalità di accesso non è sufficiente a garantire che i dati della propria azienda rimangano al sicuro.

L’autenticazione a due fattori (o verifica in due passaggi) si basa invece sulla combinazione di due metodi differenti di autenticazione che vengono contemporaneamente richiesti all’utente che desidera accedere alla piattaforma gestionale. I metodi di autenticazione che possono essere combinati si suddividono in tre categorie:

- Una cosa che conosci: una password o un PIN;
- Una cosa che hai: un Token fisico, o uno Smartphone;
- Una cosa che sei: l’impronta digitale, la retina, il timbro vocale.

L’ultima categoria è decisamente poco adatta per l’utilizzo tramite applicativi web in quanto richiede un hardware specifico e comporta alcune difficoltà di implementazione. La soluzione solitamente adottata è basata sulla combinazione di una password e di un Token (fisico, SMS o generato tramite App per smartphone).
Se utilizzi un servizio di home banking molto probabilmente sarai in possesso di un piccolo dispositivo che genera dei codici necessari per effettuare l’accesso e per approvare ogni operazione dispositiva. Alcune banche hanno poi sostituito quella chiavetta con un App per Smartphone in grado di offrire lo stesso servizio. Senza quel Token nessuno potrà accedere al tuo conto corrente: anche se sarai stato così distratto da appuntarti i codici di accesso da qualche parte senza quella chiavetta sarà impossibile effettuare l’accesso.

La stessa tecnologia può essere utilizzata per proteggere i dati della tua azienda e per farlo non servono grossi investimenti e complicate procedure. Esiste una soluzione addirittura gratuita (fino a 10 utenti) offerta da Duo Security che si distingue per la facilità di integrazione con moltissime piattaforme Web che offrono servizi Cloud. Se il tuo gestionale è stato sviluppato ad hoc parlane con il tuo sviluppatore che sarà sicuramente in grado di valutare il servizio e di integrarlo. Sono infatti disponibili librerie client per i linguaggi Python, Ruby, ASP, Java ed altri linguaggi.

La caratteristica peculiare di Duo Security è sicuramente la semplicità ottenuta attraverso la tecnologia Duo Push. Essa sostituisce l’inserimento del Token richiedendo all’utente di confermare l’accesso tramite smartphone a seguito di una notifica, come nel video di seguito.



All’interno del portale riservato all’amministratore del sistema che Duo Security mette a disposizione è possibile impostare le polity di accesso (basate ad esempio sulla posizione geografica) e consultare la reportistica relativa agli accessi. Potete ad esempio verificare la posizione geografica dal quale è stato eseguito un determinato accesso, il dispositivo utilizzato per accedere e quello utilizzato per confermare l’identità.

In conclusione ritengo sia fondamentale implementare l’autenticazione a due fattori su tutte quelle piattaforme web che contengono dei dati aziendali e ritengo che la soluzione di Duo Security consenta di farlo nel modo migliore e con dei costi contenuti, sia in termini di implementazione tecnica che di impatto sulle procedure.