Quando si tratta di sicurezza degli account online, nessuna tecnica è migliore dell’utilizzo di una chiave di sicurezza crittografata e certificata per lo standard FIDO2. Le più comuni sono quelle di Yubikey ma l’azienda svedese è lungi dall’essere la sola nel settore. Meno conosciuta ma sicuramente altrettanto competente è Token2, azienda svizzera che produce una linea di chiavi di sicurezza economiche e ampiamente supportate online. In questo caso vi proponiamo la recensione del modello più completo nella loro lineup, ovvero la Token2 T2F2 Dual dotata sia di connettore USB-A che di connettore USB-C (oltre che di chip NFC).
Perchè una chiave di sicurezza Token2 è sicura contro hacker e attacchi di phishing
Per accedere a un sito web o a un servizio, nel 99,99% dei casi viene scelta una combinazione di nome utente o email e password. In altre parole, viene richiesto “qualcosa che conosci“.
Usare solo questo sistema però è rischioso perché la memoria è qualcosa in cui gli esseri umani sono pessimi e di cui dovremmo davvero lasciare che i password manager se ne occupino.
Un grande passo in avanti lo si fa quando si combina “qualcosa che conosci” a “qualcosa che sei” o a “qualcosa che hai“.
Qualcosa che sei si riferisce essenzialmente ai dati biometrici, come usare l’impronta digitale per sbloccare un telefono. Qualcosa che hai potrebbe essere un autenticatore hardware, come una chiave Token2.
Nel complesso, questo meccanismo di informazioni multiple per l’accesso viene definito MFA o Multi Factor Authentication. Viene anche definito 2FA o 2 Factor Authentication quando ne vengono usati solo due.
Ma i dati provenienti da “qualcosa che hai” possono essere di varia natura e non tutti offrono la stessa sicurezza.
Ricevere una password monouso tramite SMS è probabilmente quello con cui le persone hanno più familiarità, anche se sta per essere abbandonato a causa di problemi di sicurezza. Il secondo metodo più usato è quello dei codici TOTP generati dallo smartphone.
Ma il sistema più sicuro rimane quello di utilizzare un dispositivo fisico crittografato e contenente una chiave unica per ogni account.
Diverse aziende hanno guidato la creazione del protocollo FIDO2 e dello standard WebAuthn, che utilizza la crittografia a chiave pubblica per l’autenticazione sicura. Negli ultimi anni lo standard WebAuthn certificato W3C ha introdotto questo stile di autenticazione in un numero sempre maggiore di browser e servizi e potrebbe rappresentare il futuro del modo in cui eseguiamo l’autenticazione. Microsoft, ad esempio, ha sperimentato l’utilizzo di dispositivi WebAuthn come le Token2 per un’autenticazione completamente senza password.
Caratteristiche hardware
Dal punto di vista fisico la Token2 T2F2 Dual assomiglia molto a una chiavetta USB per l’archiviazione di dati. Di dimensioni estremamente ridotte (42.1 mm x 17 mm x 6 mm), è realizzata in materiale plastico che assicura non solo leggerezza ma anche una certa resistenza a cadute, temperature estreme e a “contaminazioni elettromagnetiche”.
Di solito questo genere di dispositivo si porta agganciato al mazzo di chiavi tradizionali (da qui il nome), motivo per cui l’azienda ha incluso un piccolo occhiello su cui far passare gli anelli metallici usati per raggruppare le chiavi.
Sul fronte pratico, la chiave di sicurezza Token2 T2F2 Dual coniuga l’autenticazione basata su hardware, la crittografia a chiave pubblica, i protocolli TOTP/HOTP, U2F e FIDO2 per proteggere gli accessi. Questo tipo di dispositivi di sicurezza fornisce il massimo livello di autenticazione a più fattori ed è compatibile con X (ex Twitter), Facebook, Gmail, GitHub, Microsoft, Salesforce, PayPal e centinaia di altri servizi compatibili HOTP, U2F e FIDO2. E la cosa più bella è la convenienza che apporta: non sono richiesti strumenti o applicazioni aggiuntivi e il processo di accesso è semplice e affidabile.
Per quanto riguarda la quantità di dati che è possibile archiviare, Token 2 T2F2 Dual assicura fino a 50 TOTP/HOTP utilizzando l’app abbinata oppure illimitati accessi utilizzandola con gli standard FIDO2 e WebAuth (se WebAuth è implementato lato server in modalità “passkey”, la chiave supporta solo 50 account). Il tutto con una “vita utile” di 100.000 cicli di lettura e scrittura.
Ma la particolarità di questo specifico modello è la presenza della doppia connessione USB. Se da un lato la USB-A regna ancora sovrana in computer, laptop e server, è la USB-C probabilmente la connessione che verrà più usata in ambito consumer vista la presenza universale sugli smartphone (e ora, grazie alla legislazione della UE, anche sugli iPhone di Apple).
Chiaramente è presente anche un tasto capacitivo che serve a confermare che l’utilizzatore della chiave sia un essere umano e non un bot.
Tra l’altro, grazie anche alla presenza di un chip NFC a bordo, è possibile utilizzare questa chiave FIDO2 con i moderni iPhone in modo nativo direttamente nel browser (a partire da iOS 13.3) e con i dispositivi Android con NFC.
Come configurare la Token T2F2 Dual con i principali servizi online
In passato abbiamo realizzato diverse guide su come aggiungere una chiave di sicurezza fisica ai principali account online. In tal caso abbiamo preso in considerazione una Yubikey ma è chiaro che il processo di aggiunta e di utilizzo è lo stesso.
- Come massimizzare la sicurezza dell’account Facebook con le Yubikey
- Come massimizzare la sicurezza dell’account Google con le Yubikey
- Come accedere senza password all’account Microsoft
Disponibilità e prezzo
La Token2 T2F2 Dual è disponibile sul sito web dell’azienda ad un prezzo di appena 22 euro (con uno sconto extra del 5% se usate il codice promo androidblog5OIT). Esattamente come qualsiasi altra chiave di sicurezza, è consigliabile acquistarne almeno due (non per forza lo stesso modello o della stessa azienda) così da avere un backup e poter accedere ai propri account anche nel caso la prima venisse smarrita.
Non si tratterà certamente del regalo di Natale più eccitante ma siamo certi che verrà apprezzata molto da coloro utilizzano account con molti dati sensibili (pensiamo ad esempio ai professionisti o anche a chi possiede portafogli di criptovalute).
