Ogni giorno utilizziamo decine di account: e-mail, home banking, social network, servizi cloud, piattaforme di lavoro e shopping online. Tutti questi servizi custodiscono dati personali, documenti, fotografie e informazioni finanziarie. Una semplice password, per quanto complessa, oggi non rappresenta più una barriera sufficiente contro gli attacchi informatici.
L’autenticazione a due fattori (2FA – Two-Factor Authentication) è uno dei metodi più efficaci per aumentare la sicurezza dei propri account e ridurre drasticamente il rischio di accessi non autorizzati.
Cos’è l’autenticazione a due fattori?
L’autenticazione a due fattori è un sistema di sicurezza che richiede due verifiche distinte dell’identità prima di concedere l’accesso a un account.
L’autenticazione si basa generalmente su due elementi appartenenti a categorie differenti:
• Qualcosa che conosci (password o PIN)
• Qualcosa che possiedi (smartphone, token hardware)
• Qualcosa che sei (impronta digitale o riconoscimento facciale)
Nel caso più comune, dopo aver inserito la password, il sistema richiede un codice temporaneo generato da un’app o inviato al dispositivo autorizzato.
Perché una password non basta più?
Molti utenti credono che una password lunga sia sufficiente. In realtà esistono numerose tecniche con cui un cybercriminale può impossessarsene:
• attacchi di phishing;
• malware installati sul dispositivo;
• violazioni di database;
• password riutilizzate su più servizi;
• attacchi brute force o credential stuffing.
Se un attaccante entra in possesso della password, senza la seconda verifica non potrà comunque accedere all’account.
La 2FA aggiunge quindi un ulteriore livello di protezione che rende molto più difficile compromettere un’identità digitale.
Come funziona?
Immaginiamo di accedere alla nostra casella di posta.
1. Inseriamo indirizzo e-mail e password.
2. Il sistema verifica le credenziali.
3. Richiede un secondo fattore di autenticazione.
4. Inseriamo il codice generato sullo smartphone.
5. Solo dopo questa seconda verifica viene autorizzato l’accesso.
Anche se un criminale conoscesse la password, non potrebbe completare l’accesso senza possedere il dispositivo autorizzato.
Quali tipi di autenticazione a due fattori esistono?
Codice via SMS
Il servizio invia un codice numerico tramite messaggio.
Vantaggi
• semplice da utilizzare;
• disponibile praticamente ovunque.
Svantaggi
• meno sicuro;
• vulnerabile a tecniche come il SIM Swap;
• dipende dalla copertura telefonica.
App di autenticazione
Le applicazioni generano un nuovo codice ogni 30 secondi.
Le più diffuse sono:
• Google Authenticator
• Microsoft Authenticator
• Authy
• 2FAS
Vantaggi
• molto più sicure degli SMS;
• funzionano anche senza connessione Internet;
• difficili da intercettare.
Notifica Push
Molti servizi inviano una notifica direttamente sullo smartphone.
L’utente deve semplicemente approvare o rifiutare il tentativo di accesso.
È uno dei sistemi più comodi e sicuri.
Chiavi di sicurezza (Security Key)
Sono dispositivi fisici USB, NFC o Bluetooth che implementano gli standard FIDO2 e WebAuthn.
Sono oggi considerati il metodo più sicuro per proteggere gli account professionali.
Come attivare la 2FA sullo smartphone
L’attivazione è molto simile nella maggior parte dei servizi.
Su Android
1. Apri le impostazioni dell’account (Google, Microsoft, Meta o altro).
2. Cerca Sicurezza.
3. Seleziona Verifica in due passaggi o Autenticazione a due fattori.
4. Scegli il metodo preferito.
5. Configura l’app di autenticazione oppure conferma il numero di telefono.
6. Salva i codici di recupero.
Su iPhone
Il procedimento è analogo.
Per l’Apple ID:
• Impostazioni
• Il tuo nome
• Accesso e sicurezza
• Autenticazione a due fattori
• Attiva
Apple utilizza principalmente dispositivi fidati e codici temporanei per verificare l’identità dell’utente.
Come utilizzare un’app Authenticator
Una volta installata:
1. Apri il servizio che vuoi proteggere.
2. Attiva la 2FA.
3. Verrà mostrato un QR Code.
4. Apri l’app Authenticator.
5. Scansiona il QR Code.
6. L’app inizierà a generare codici temporanei.
Ad ogni nuovo accesso sarà sufficiente inserire il codice visualizzato.
Ricorda di salvare i codici di recupero
Quando attivi la 2FA, quasi tutti i servizi forniscono dei Recovery Codes.
Questi codici permettono di recuperare l’accesso se:
• perdi il telefono;
• cambi smartphone;
• l’app Authenticator viene eliminata.
È consigliabile conservarli in un luogo sicuro, preferibilmente offline.
Errori da evitare: best practices
Molti utenti compromettono la sicurezza senza rendersene conto.
Le buone pratiche sono:
• non fotografare i codici di recupero;
• non condividere mai i codici OTP;
• evitare password riutilizzate;
• preferire un’app Authenticator agli SMS quando possibile;
• mantenere aggiornato il sistema operativo dello smartphone.
Perché le aziende dovrebbero adottarla?
Per un’organizzazione, la 2FA rappresenta una misura fondamentale per la protezione degli accessi ai sistemi aziendali.
Riduce sensibilmente il rischio di:
• compromissione degli account;
• furto di dati;
• accessi non autorizzati;
• attacchi ransomware derivanti dal furto delle credenziali.
Per questo motivo è oggi considerata una delle prime misure di sicurezza raccomandate dagli standard internazionali e dai framework di cybersecurity.