Per garantire una maggiore sicurezza agli utenti che fruiscono dei servizi via internet ed evitare che i malfattori venuti in possesso della coppia di credenziali <nome utente, password> tipicamente usata per accedere ai siti, si è reso necessario introdurre un ulteriore livello di sicurezza introducendo sistemi per confermare l'identità di chi vuole accedere. Ad esempio, ci sono siti che usano la casella mail (diversa da quella per l'iscrizione, quando usata come nome utente) oppure si affidano all'invio tramite SMS di codici numerici o alfanumerici (lettere e numeri) da inserire, etc.
Si parte del presupposto che la disponibilità del telefono per ricevere SMS contenenti codici OTP ovvero l'accesso alla seconda mail sia possibile solo a chi si è registrato inserendo tali recapiti.
Tipi di metodi di autenticazione a due fattori:
- OTP via SMS o via email
- digitazione codice PIN
- uso di app specifiche come Google Authenticator oppure Microsoft Authenticator
- scansione impronta digitale (in uso sui telefonini)
- Face ID (iPhone)
- SmartCard
Alcuni esperti precisano che in realtà si fa confusione fra autenticazione a due fattori (2FA - two factors authentication) e verifica in due passaggi (2SV - 2 Steps Verification).
Nel primo tipo di verifica fanno rientrare quei sistemi di autenticazione in cui sono usati due differenti tipologie di fattori: fisico (qualcosa che hai come una smartcard), qualcosa che sai (una password, un pin), qualcosa che sei (impronta, viso).
Nel secondo tipo di verifica rientrano quei sistemi che usano due volte uno stesso tipo di verifica (esempio: prima inserisci nome utente e password e poi un codice PIN, che rientrano sempre in "qualcosa che sai")...