Cos'è la 2FA? Guida all'autenticazione a due fattori

Le password da sole non sono sufficienti a proteggere i tuoi account online. Le violazioni dei dati espongono miliardi di credenziali ogni anno, e anche le password forti possono essere compromesse attraverso phishing, keylogger o attacchi a forza bruta. L'autenticazione a due fattori (2FA) aggiunge un secondo livello di difesa — anche se qualcuno ruba la tua password, non può comunque accedere al tuo account senza il secondo fattore. Questa guida spiega cos'è la 2FA, come funziona ogni metodo, quali tipi sono più sicuri e come configurarla sui tuoi account più importanti. È uno dei singoli passi più efficaci che puoi compiere per proteggere la tua vita digitale.

Tipi di autenticazione a due fattori

Codici SMS

Un codice monouso viene inviato al tuo numero di telefono tramite messaggio di testo. Inserisci questo codice dopo la tua password per completare l'accesso. La 2FA via SMS è il metodo più ampiamente disponibile — quasi ogni servizio la supporta e non richiede app o hardware aggiuntivi. Tuttavia, è la forma più debole di 2FA a causa della vulnerabilità agli attacchi di SIM swapping (in cui un aggressore convince il tuo operatore a trasferire il tuo numero di telefono sulla loro SIM) e agli exploit del protocollo SS7 che possono intercettare i messaggi di testo.

• Pro: Ampiamente supportato, nessuna app necessaria, funziona su qualsiasi telefono
• Contro: Vulnerabile a SIM swapping, intercettazione SS7 e attacchi di ingegneria sociale sugli operatori telefonici

App autenticatrici (TOTP)

Le app di Password Monouso Basata sul Tempo (TOTP) generano un nuovo codice a 6 cifre ogni 30 secondi usando un segreto condiviso e l'ora attuale. App popolari includono Google Authenticator, Authy, Microsoft Authenticator ed Ente Auth. TOTP è significativamente più sicuro dell'SMS perché i codici vengono generati localmente sul tuo dispositivo — non c'è un canale di trasmissione da intercettare. I codici funzionano offline e non sono legati al tuo numero di telefono. Questo è il metodo 2FA consigliato per la maggior parte delle persone, bilanciando forte sicurezza con facilità d'uso.

• Pro: Sicuro, capace di funzionare offline, app gratuite disponibili, non legato al numero di telefono
• Contro: Perdere il dispositivo senza codici di backup ti blocca; i siti di phishing possono ancora catturare i codici in tempo reale

Chiavi di sicurezza hardware

Dispositivi fisici come YubiKey, Google Titan e SoloKeys si collegano alla tua porta USB o tramite NFC per autenticarsi. Le chiavi hardware utilizzano lo standard FIDO2/WebAuthn, che è resistente al phishing per design — la chiave verifica crittograficamente il dominio del sito web prima di autenticarsi, rendendo impossibile per i siti di phishing intercettare. Google richiede a tutti i dipendenti di utilizzare chiavi hardware e ha riportato zero attacchi di phishing riusciti dall'implementazione. Le chiavi costano $25-70 e sono il metodo 2FA più sicuro disponibile.

• Pro: Sicurezza più forte, resistente al phishing, nessuna batteria, funziona offline, durevole
• Contro: Costa $25-70, può essere perso o dimenticato, non supportato da tutti i servizi

Biometria

Scanner di impronte digitali (Touch ID), riconoscimento facciale (Face ID) e scanner dell'iride usano le tue caratteristiche fisiche come fattore di autenticazione. La biometria è conveniente — la porti sempre con te e non può essere dimenticata. Funzionano come secondo fattore insieme alle password su molti dispositivi e servizi. Tuttavia, la biometria non può essere cambiata se compromessa (a differenza di una password) e può essere obbligata dalle forze dell'ordine in molte giurisdizioni. La qualità varia significativamente tra i dispositivi.

• Pro: Conveniente, sempre disponibile, autenticazione veloce, difficile da replicare
• Contro: Non può essere cambiata se compromessa, può essere obbligata legalmente, qualità varia per dispositivo

Passkey

Le passkey sono il più recente standard di autenticazione, progettato per sostituire interamente le password. Basate su FIDO2/WebAuthn, le passkey utilizzano la crittografia a chiave pubblica — il tuo dispositivo memorizza una chiave privata e il servizio memorizza la chiave pubblica corrispondente. L'autenticazione avviene attraverso il sensore biometrico o PIN del tuo dispositivo, senza alcuna password da digitare, phishare o rubare. Apple, Google e Microsoft hanno integrato il supporto per le passkey nei loro sistemi operativi. Le passkey si sincronizzano tra dispositivi tramite iCloud Keychain, Google Password Manager o altri provider, combinando la sicurezza delle chiavi hardware con la convenienza della biometria.

• Pro: Resistente al phishing, nessuna password da ricordare, si sincronizza tra dispositivi, veloce
• Contro: Relativamente nuove, non ancora universalmente supportate, preoccupazioni di blocco della piattaforma con passkey sincronizzate

Come configurare la 2FA

Configurare la 2FA richiede meno di cinque minuti per account. Ecco il processo per la 2FA basata su app autenticatrice, che è il metodo consigliato per la maggior parte delle persone:

1. Apri le impostazioni di sicurezza. Vai nelle impostazioni di sicurezza del tuo account. Cerca "Autenticazione a due fattori", "Verifica in due passaggi" o "Sicurezza accesso". Su Google, vai su myaccount.google.com > Sicurezza > Verifica in due passaggi. Su Apple, vai su Impostazioni > [Il tuo nome] > Accesso e Sicurezza.
2. Scegli un metodo 2FA. Scegli "App Autenticatrice" per il miglior equilibrio tra sicurezza e convenienza. Installa un'app TOTP se non ne hai una — Google Authenticator, Authy o Ente Auth sono tutte scelte solide. Authy ed Ente Auth offrono backup cloud crittografato dei tuoi codici.
3. Scansiona il codice QR mostrato sullo schermo con la tua app autenticatrice. L'app genererà un codice a 6 cifre che si aggiorna ogni 30 secondi. Inserisci il codice attuale per verificare che la configurazione funzioni correttamente.
4. Salva i codici di backup immediatamente. La maggior parte dei servizi fornisce codici di recupero monouso che ti permettono di riottenere l'accesso se perdi il tuo dispositivo autenticatore. Conservali in un gestore di password, stampali o scrivili e tienili in un luogo sicuro separato dai tuoi dispositivi. Senza codici di backup, perdere il telefono potrebbe bloccarti permanentemente dall'account.

Migliori pratiche per la 2FA

1. Abilita la 2FA prima sul tuo account email — è la chiave maestra per tutti gli altri tuoi account. Se qualcuno compromette la tua email, può reimpostare le password su ogni servizio ad essa collegato. La tua email è il singolo account più importante da proteggere con la 2FA.
2. Usa un'app autenticatrice invece dell'SMS ogni volta che è possibile. Le app TOTP sono immuni allo SIM swapping e agli attacchi SS7. Se un servizio offre solo 2FA basata su SMS, usala comunque — la 2FA via SMS è ancora drasticamente migliore di nessuna 2FA.
3. Conserva i codici di backup in un luogo sicuro e separato. Memorizzali in un gestore di password (diverso da quello protetto dalla 2FA), stampali e tienili in una cassaforte, o scrivili su carta conservata in modo sicuro. Non memorizzare mai i codici di backup in una nota non crittografata sullo stesso dispositivo del tuo autenticatore.
4. Considera una chiave di sicurezza hardware per i tuoi account più critici — email, banca, archivio cloud e gestori di password. Una YubiKey 5 NFC ($50) funziona con USB-A, USB-C e NFC, coprendo praticamente ogni dispositivo. Registra due chiavi per account per avere un backup.
5. Controlla regolarmente quali account hanno la 2FA abilitata. Usa un gestore di password per tenerne traccia. Ordine di priorità: email, servizi bancari e finanziari, archivio cloud, social media, siti di shopping con metodi di pagamento salvati e qualsiasi account di lavoro o professionale.