Protezione aggiuntiva

Autenticazione multifattore: aggiungi una barriera che i criminali non possono aggirare

Con il 2FA abbini “qualcosa che sai” (la password) a “qualcosa che possiedi” o “qualcosa che sei”. Anche se la password viene rubata, l’account resta protetto senza il secondo fattore. Vediamo le alternative disponibili.

Perché il 2FA è indispensabile

Le password possono trapelare, essere brute-forzate o riutilizzate. Il 2FA riduce drasticamente il rischio perché richiede un codice o una chiave che solo tu possiedi.

Metodi più diffusi

SMS (il meno sicuro)

Ricevi un codice via SMS. È comodo e diffuso, ma vulnerabile a SIM swapping, intercettazioni e phishing. Usalo solo se non ci sono alternative.

Messaggistica (WhatsApp, Telegram…)

Alcuni servizi inviano codici tramite app di messaggistica. Migliora leggermente la sicurezza rispetto all’SMS, ma resta legato al numero di telefono.

App autenticatore (TOTP)

Generano codici temporanei offline. Sono la scelta consigliata per la maggior parte dei servizi. Opzioni popolari: Google Authenticator, Microsoft Authenticator, Authy, Aegis, 2FAS, oltre alle funzioni integrate di 1Password o Bitwarden.

Notifiche push

Duo, Microsoft o Google inviano richieste di approvazione sul telefono. Sono pratiche, ma fai attenzione agli attacchi di “push fatigue”: nega qualsiasi richiesta sospetta.

Chiavi hardware (FIDO2/WebAuthn)

Dispositivi come YubiKey, Feitian, SoloKeys offrono resistenza al phishing. Si collegano via USB, NFC o Lightning e verificano il dominio prima di autenticare.

Passkey e biometria

Windows Hello, Touch ID, Face ID o le passkey su Android/iOS sfruttano WebAuthn. Sono semplici da usare e altamente sicuri, ma non tutti i servizi li supportano ancora.

Tabella comparativa

Metodo Sicurezza Comodità Rischi
SMS Bassa Molto alta SIM swapping, intercettazioni, phishing
App autenticatore Alta Media Perdita del dispositivo, mancati backup
Push Alta Alta Attacchi di push bombing se approvi richieste false
Chiavi hardware Molto alta Media Costo, gestione di chiavi di riserva
Passkey/biometria Molto alta Molto alta Compatibilità limitata (in crescita)

Buone pratiche

  • Preferisci autenticatore o chiavi hardware rispetto agli SMS.
  • Registra sempre un fattore di backup (seconda app o chiave, codici di recupero).
  • Conserva codici di emergenza offline.
  • Per account critici, impiega chiavi fisiche e passkey.
  • Rifiuta richieste push inattese: contatta subito il supporto se ne ricevi molte di seguito.

FAQ

Cosa succede se perdo la chiave hardware?

Usa la chiave di backup o i codici di recupero. È essenziale configurare più chiavi durante l’attivazione.

Come trasferisco i codici TOTP su un nuovo telefono?

Molte app consentono l’esportazione o la sincronizzazione (Authy, 1Password, Bitwarden). Mantieni il vecchio dispositivo finché il nuovo non è configurato.

Gli attaccanti possono rubare i codici TOTP?

Sì, con attacchi di phishing in tempo reale. Le chiavi hardware e le passkey sono resistenti perché validano l’origine della richiesta.

Checklist 2FA

  • Abilita il 2FA su email, servizi bancari e strumenti aziendali.
  • Usa password uniche con password.es e custodiscile in un gestore zero knowledge.
  • Per gli amministratori, imposta chiavi hardware obbligatorie.
  • Forma il team a riconoscere phishing, smishing e richieste sospette di codici.
  • Rigenera i codici di recupero dopo qualsiasi incidente.

Limitazione di responsabilità

password.es è fornito «così com’è». Non garantiamo disponibilità del servizio né sicurezza assoluta delle password generate. L’utente è responsabile dell’uso dello strumento e delle misure di sicurezza aggiuntive.