1 Perché il 2FA è indispensabile
Le password possono trapelare, essere brute-forzate o riutilizzate. Aggiungere una verifica in tempo reale (codice monouso, notifica push, chiave hardware o biometria) riduce drasticamente il rischio, specialmente per account amministrativi, bancari e di posta.
2 Metodi 2FA più diffusi
SMS (il meno sicuro)
Molto diffuso ma vulnerabile a SIM swapping, intercettazioni SS7 e phishing. Usalo solo se non ci sono alternative migliori.
App di messaggistica (WhatsApp, Telegram...)
Un leggero miglioramento rispetto all'SMS perché il messaggio è cifrato, ma resta legato al numero di telefono e può essere compromesso se quell'account viene violato.
App autenticatore (TOTP)
Generano codici offline ogni 30 secondi a partire da un segreto condiviso. Sono la scelta consigliata per la maggior parte dei servizi. Opzioni popolari:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password/Bitwarden con TOTP integrato
- Duo Mobile, Aegis, 2FAS
Autenticazione push
Alcuni servizi (Okta, Duo, Microsoft, Google) inviano una notifica push per approvare l'accesso. Comodo, ma attenzione agli attacchi di "push fatigue": nega sempre richieste inattese.
Chiavi hardware di sicurezza
Dispositivi FIDO2/WebAuthn come YubiKey, Feitian o SoloKeys offrono 2FA resistente al phishing. Verificano il dominio prima di approvare l'accesso e possono supportare anche passkey e PGP.
Autenticatori di piattaforma e passkey
Integrati nei dispositivi (Windows Hello, Touch ID, Face ID, passkey Android). Si basano su WebAuthn, sono molto pratici e resistenti al phishing.
3 Sicurezza vs. comodità
| Metodo | Sicurezza | Comodità | Rischi principali |
|---|---|---|---|
| SMS | Bassa | Molto alta | SIM swapping, intercettazioni, email di reset fasulle |
| App autenticatore | Alta | Media | Perdita del dispositivo, mancati backup |
| Notifica push | Alta | Alta | Attacchi di push bombing / fatigue |
| Chiave hardware | Molto alta | Media | Smarrimento fisico, costo, porte limitate |
| Passkey/biometria | Molto alta | Molto alta | Compatibilità ancora in espansione |
4 Buone pratiche
- Preferisci autenticatore o chiavi hardware rispetto agli SMS.
- Registra almeno due fattori (dispositivo di backup o chiave + codici di recupero).
- Conserva i codici di recupero offline in un luogo sicuro.
- Per account condivisi o amministrativi, imponi chiavi hardware dove possibile.
- Abilita le passkey ogni volta che sono supportate: semplificano l'accesso sicuro.
FAQ
Cosa succede se perdo la chiave hardware?
Usa la chiave di backup o i codici di recupero. È essenziale registrare più chiavi durante la configurazione per non restare bloccati.
Come trasferisco i codici TOTP su un nuovo telefono?
Authy sincronizza nel cloud; altre app consentono l'esportazione o la nuova scansione dei QR. Mantieni il vecchio dispositivo finché il nuovo non è confermato.
Gli attaccanti possono rubare i codici delle app?
Sì, tramite attacchi di phishing in tempo reale. Le chiavi hardware e le passkey offrono resistenza al phishing perché verificano l'origine prima dell'autenticazione.
Checklist multifattore
- Abilita il 2FA ovunque, a partire da email, banca e console di amministrazione cloud.
- Usa password uniche e robuste conservate in un gestore zero-knowledge.
- Imponi fattori resistenti al phishing (chiavi FIDO2) per i ruoli critici.
- Forma il team a rifiutare richieste MFA inattese o domande sospette di codici.
- Rigenera i codici di recupero dopo qualsiasi incidente di sicurezza.
Limitazione di responsabilità
password.es è fornito «così com'è». Non garantiamo disponibilità del servizio, accuratezza delle informazioni o sicurezza delle password generate. L'utente è responsabile dell'uso dello strumento e della combinazione di 2FA con buone pratiche di igiene delle password e sicurezza dei dispositivi.