PEC di Aruba, al sicuro con la 2FA: ecco come fare
Maggiore è l’importanza di un contenuto, maggiore è la motivazione che può spingere un malintenzionato a tentare di appropriarsene. Potrà trovarci dentro dati sensibili, infatti, oppure informazioni utilizzabili per portare avanti truffe di vario tipo. Proteggere i propri file ed i propri account è dunque fondamentale per evitare che dall’esterno qualcuno pensi ad un certo punto di provare a farli propri. Ciò è vero anche e soprattutto per tutto quello che è il mondo PEC, laddove i messaggi sono per loro natura di maggior importanza rispetto alle tradizionali e-mail e dove serve quindi un livello di protezione maggiore.
Aruba, per offrire alla propria utenza uno strumento di sicurezza aggiuntivo, ha arricchito il proprio servizio PEC con una verifica in 2 passaggi che d’ora innanzi renderà ben più sicuro l’accesso al proprio account di posta elettronica certificata.
Perché la 2FA fa la differenza
2FA, ossia “verifica in due passaggi”: la somma dei due passaggi (tipicamente password e OTP) certifica il diritto acquisito dell’utente ad accedere all’account, sfruttando un doppio controllo di autenticazione che rende la vita complessa ai malintenzionati.
Il primo passaggio è quello noto a tutti, contraddistinto dall’accoppiata nome/password. Questi estremi, teoricamente noti soltanto all’utente, consentono di accedere soltanto quando si inseriscono le giuste credenziali. Trattasi tuttavia di un sistema che con il tempo ha fatto emergere tutte le sue fragilità:
- gli attacchi “brute force” sono in grado di fare milioni di tentativi in pochi secondi, utilizzando un algoritmo specifico che permette di provare tutte le soluzioni teoricamente possibili fino a trovare quella corretta
- quando le credenziali sono note, indovinare la password può essere un gioco da ragazzi (soprattutto quando non si usano password complesse)
- il phishing è una delle armi più usate per trarre in inganno l’utente e farsi consegnare deliberatamente la password fingendo attacchi informatici, procedure inceppate, vincite da incassare o altro ancora.
Persa la password, si perde potenzialmente il controllo dell’account. Perso il controllo dell’account, si rischia di vedere in mani altrui contatti, mail, allegati e tutto quanto contenuto. Proprio per evitare questa spiacevole situazione, Aruba aggiunge alla PEC il secondo passaggio: quando si inseriscono nome e password, si riceve una notifica push sul dispositivo associato (o in alternativa un SMS contenente le istruzioni per lo sblocco dell’accesso).
Il secondo passaggio avviene pertanto sotto forma di codice OTP che, nel caso di Aruba, viene inviato su un dispositivo associato (passaggio che avviene attraverso una procedura che ne ha precedentemente certificato il controllo da parte dell’utente).
Formalmente, la 2FA è pensata per mettere insieme almeno due informazioni scelte tra le seguenti tre:
- qualcosa che sai (informazione che conosci, per esempio una password o il PIN);
- qualcosa che hai (ad esempio uno smartphone in possesso o un token di sicurezza con “chiavette” che generano codici a più cifre);
- qualcosa che sei (ciò che identifica, ad esempio informazioni biometriche come l’impronta digitale, il volto o l’iride).
Sullo smartphone debbono infatti essere attivi tanto le notifiche push, quanto uno dei sistemi di protezione disponibili (PIN, impronta digitale o riconoscimento facciale). La validazione del dispositivo avviene tramite SMS, con un codice temporaneo utile a certificare il fatto che l’utente della SIM e l’utente dell’app siano la medesima persona. Tramite i servizio Aruba, insomma, viene inviato un SMS temporaneo che consente all’utente di abilitare il proprio dispositivo certificandone il possesso. Con un click si comunica quindi ad Aruba “quello che hai” subito dopo aver certificato “quello che sei” attraverso nome e password: così facendo si andranno a definire i paletti per la sicurezza nei successivi tentativi di accesso all’account.
Se una password può essere rubata da remoto, uno smartphone è invece sempre alla portata dell’utente e (in assenza di SIM Swap o altri tentativi di frode) senza possibilità di accesso diretto: una misura più che valida per rendere più sicuro l’accesso all’account relativo alla propria PEC.
Come si attiva la verifica in 2 passaggi sulla PEC di Aruba Attivare la verifica in 2 passaggi sulla PEC di Aruba è un processo molto semplice:
- aprire l’app Aruba PEC sul proprio smartphone;
- inserire le proprie credenziali per l’identificazione;
- cliccare “Attiva verifica” e iniziare quindi la procedura di attivazione;
- cliccare “Attiva e associa questo dispositivo”;
- seguire le istruzioni per verificare i sistemi di protezione dello smartphone;
- inserire il proprio numero di telefono (se non precedentemente registrato) o inserire il codice ricevuto via SMS qualora il proprio recapito fosse già stato precedentemente registrato sull’account;
- cliccare “Prosegui”: si riceverà una conferma a schermo ed una mail che avvisa dell’avvenuta attivazione della verifica in 2 passaggi.
Una volta attivata, si riceverà una notifica sul dispositivo abilitato ogni qualvolta si acceda a WebMail PEC.
Punto Informatico