2FA e criptovalute: autenticazione in tutta sicurezza attraverso uno dei più diffusi ed efficaci sistemi a disposizione dell’utente.
Negli ultimi anni, le criptovalute sono diventate un asset sempre più popolare, e continuano ad attirare l’attenzione di investitori, trader, utenti comuni, ma anche criminali informatici, che in molti casi sono riusciti ad affinare tecniche di attacco molto sofisticate e in grado di abbattere i layer di sicurezza più basici.
In generale, l’architettura crittografica che governa la blockchain assicura un livello estremamente elevato di sicurezza. Ma sussistono falle “umane” che possono indirettamente determinare ingenti perdite, soprattutto se i device digitali vengono affidati a sistemi di protezione deboli, come password costituite da numeri e lettere prevedibili.
La sicurezza dei fondi digitali è come ovvio una priorità assoluta, e uno degli strumenti più efficaci per proteggerli è l’autenticazione a due fattori (2FA).
In questo articolo esploreremo cos’è la 2FA, perché è fondamentale per le criptovalute, come configurarla correttamente e quali sono le migliori pratiche per utilizzarla in modo sicuro ed efficace.
2FA: cos’è l’autenticazione a due fattori?
L’autenticazione a due fattori è un metodo di sicurezza che richiede due forme distinte di verifica dell’identità prima di concedere l’accesso a un qualsiasi account, compreso un wallet crittografico (custodial o non custodial che sia). Invece di affidarsi solo a una password (qualcosa che semplicemente “si sa”), la 2FA aggiunge un secondo livello di protezione, come un codice temporaneo generato da un’app o inviato al tuo dispositivo (qualcosa che “si possiede”, ovvero che “si ha fisicamente sotto mano”).
Questo significa che anche se un malintenzionato scopre la password, non potrà comunque accedere all’account senza il secondo fattore, che fa riferimento a device controllabili solo e unicamente dal legittimo proprietario (un telefono, un dispositivo elettronico, un’applicazione che genera codici temporanei inizializzata solo dal proprietario, oppure un’impronta digitale o una scansione del volto).
Nel contesto delle criptovalute, la 2FA è particolarmente importante perché i fondi sono spesso conservati in wallet digitali o su piattaforme di scambio (exchange), che sono bersagli frequenti da parte degli hacker.
Una volta che le crypto vengono rubate, è quasi impossibile recuperarle a causa della natura decentralizzata e irreversibile delle transazioni blockchain.
2FA e crypto: un rapporto stretto
Le criptovalute rappresentano un valore reale, ma a differenza dei conti bancari tradizionali, nel caso di una gestione al di fuori di exchange specializzati non esiste un’assicurazione o un’autorità centrale che possa intervenire in caso di furto.
Gli attacchi informatici, come il phishing, il keylogging o la compromissione delle password, sono sempre più sofisticati. Secondo un rapporto di Chainalysis del 2023, oltre 3 miliardi di dollari in criptovalute sono stati rubati da wallet e piattaforme a causa di violazioni della sicurezza.
La 2FA riduce drasticamente il rischio di accesso non autorizzato, quindi è caldamente raccomandata. Anche se un hacker ottiene la password tramite un attacco phishing o un data breach andato a buon segno, non potrà completare il login senza il secondo fattore, che è legato a un dispositivo fisico in possesso del solo proprietario.
Da questo punto di vista consigliamo di leggere o rileggere i nostri articoli dedicati alla sicurezza “basica” dei wallet:
“Wallet: un portafoglio per conservare al sicuro le crypto”
Tipologie di 2FA utilizzabili per le crypto
Esistono diverse opzioni per implementare la 2FA. Ecco le più comuni nel mondo delle crypto:
App di Autenticazione (es. Google Authenticator, Authy, etc…)
Queste app generano codici temporanei (TOTP, Time-based One-Time Password) che cambiano circa ogni 30 secondi. Sono considerate molto sicure perché funzionano offline e non dipendono da reti cellulari o e-mail.
Messaggi di testo al numero di registrazione
In questo caso si riceve un codice tramite SMS sul numero di telefono. Sebbene sia facile da usare, è ovviamente meno sicuro rispetto alle app di autenticazione, poiché gli hacker possono comunque intercettare i messaggi o effettuare un attacco di SIM swapping. Tuttavia rimane un metodo valido se associato ad altri metodi congiunti (per esempio, un metodo di tipo 2FA può essere “duplice” e prevedere l’invio a due indirizzi differenti; si veda a tale proposito quanto segue…).
Chiavi hardware (es. YubiKey)
Questi dispositivi fisici, simili a chiavette USB o affini, devono essere collegati al computer o smartphone per autenticare il legittimo proprietario dell’account. Offrono il massimo livello di sicurezza, visto che si tratta di device “fisici” che un hacker potrebbe solo rubare altrettanto fisicamente, ma richiedono un investimento iniziale e possono essere meno pratici da usare quotidianamente.
Alcune piattaforme inviano un codice alla tua casella di posta. Come detto, questa opzione è in parte vulnerabile sel’account e-mail viene compromesso, quindi è sconsigliata come unica forma di 2FA. Per le criptovalute, si consiglia di privilegiare app di autenticazione o chiavi hardware, evitando SMS ed e-mail quando possibile. Oppure, una valida alternativa consiste nel prevedere una rosa di tecniche congiunte: e-mail più SMS, o ancora meglio e-mail più SMS e autenticazione tramite device.
Procedura
Ciascun wallet o exchange prevede come ovvio un suo tutorial (spesso presente nella stessa app) dove i passi per impostare un’autenticazione a due fattori sono descritti punto per punto. Si tratta tuttavia di uno schema estremamente intuitivo, qui sintetizzato:
Passo 1: Scegli l’app di autenticazione preferita o consigliata dal servizio in essere. Passo 2: Accedere all’account andando alle impostazioni di sicurezza, scegliendo quella che più si preferisce. Passo 3: Inquadrare il QR-code (o immettere il codice) nel caso di app di autenticazione o device esterno, oppure fornire la propria e-mail o il proprio numero per 2FA semplificata. Passo 4 (molto importante): Salvare il codice di backup che viene fornito nel caso si voglia ripristinare la sicurezza in assenza del device di riferimento (oppure nel caso si voglia riprogrammarla). Passo 5: Verificare la configurazione attraverso una prima procedura di autenticazione.
Dopo aver seguito questi passi, la procedura 2FA sarà attiva e funzionerà a regime come layer aggiuntivo di sicurezza su accessi e transazioni.
Proteggere sempre i dispositivi!
Nel caso della gestione di device che “contengono” wallet o affini valgono le classiche regole attinenti alla comune cybersecurity. Usare sempre smartphone, computer e dispositivi aggiornatissimi, con patch regolari e un buon antivirus. Evita di usare dispositivi pubblici o non protetti. Nel caso si debba per forza usare una rete pubblica, dotarsi almeno di un buon servizio di VPN.
Attenzione al phishing!
Gli hacker possono creare siti falsi che imitano gli exchange per rubare anche i codici 2FA. Controllare sempre l’URL del sito! Sembra una cosa ovvia, ma l’automatismo e l’abitudine possono giocare brutti scherzi. Degna di nota è infatti la statistica che conferma un dato molto chiaro: la quasi totalità delle intrusioni informatiche da parte di malintenzionati è dovuta alla disattenzione umana, espressa ora da prassi discutibili in materia di sicurezza, ora da vere e proprie sviste.
Un hardware wallet è spesso la scelta migliore
Per somme significative, buona regola è trasferire le crypto su un wallet hardware (es. Ledger o Trezor) che integra misure di sicurezza avanzate, inclusa la 2FA opzionale. Abbiamo parlato spesso di questi dispositivi. Il lettore troverà ampia descrizione nel seguente articolo, che si concentra sul modello Ledger Nano S:
“Ledger Nano S: come iniziare a usarlo”
Conclusioni
L’autenticazione a due fattori è uno strumento indispensabile per proteggere gli investimenti in criptovalute. Configurarla correttamente e seguire le migliori pratiche può fare la differenza tra tenere i fondi al sicuro o perderli per sempre.
Con pochi minuti di setup e un po’ di attenzione, l’utente può dormire sonni tranquilli sapendo che i suoi asset digitali sono protetti da un ulteriore livello di sicurezza.
L’implementazione consapevole di tale ulteriore livello di sicurezza è altamente consigliata a tutti, senza distinzione.
Filippo Albertin
