Proteggiti

Digiti la password ed eccoti dentro. È l'autenticazione a un solo fattore, e ha una debolezza evidente: se qualcun altro scopre la tua password — tramite una violazione di dati, un'email di phishing o un accesso riutilizzato —, entra anche lui. L'autenticazione a due fattori, di solito abbreviata in 2FA, aggiunge una seconda serratura, così che una password rubata da sola non basti più ad aprire il tuo account.

L'autenticazione a due fattori consiste nel dimostrare la tua identità con due tipi di prove diverse prima di essere ammesso. Gli esperti di sicurezza raggruppano queste prove in tre categorie, o fattori: qualcosa che sai (una password o un PIN), qualcosa che hai (un telefono, una chiave di sicurezza fisica o un'app che genera codici) e qualcosa che sei (un'impronta digitale, il volto o un altro dato biometrico). La 2FA combina due di queste categorie: ecco perché un codice inviato al tuo telefono conta, ma due password no — due password sono lo stesso fattore.

Come funziona l'autenticazione a due fattori

In pratica funziona di solito così. Inserisci nome utente e password come al solito. Il servizio chiede allora una seconda prova: un codice a sei cifre da un'app di autenticazione, un tocco su una notifica, un codice via SMS o una pressione su una chiave fisica. Sei dentro solo quando entrambe le verifiche sono superate. Poiché il secondo fattore cambia di continuo o è fisicamente legato a un dispositivo che possiedi, un aggressore che ha solo la tua password viene fermato al secondo passaggio.

Non tutti i secondi fattori sono ugualmente robusti. I codici inviati via SMS sono i più diffusi e di gran lunga meglio di niente, ma i messaggi di testo possono essere intercettati o deviati con una tecnica chiamata SIM swapping, in cui un aggressore induce il tuo operatore a trasferire il tuo numero sul proprio dispositivo. Le app di autenticazione — integrate nei gestori di password o autonome — generano i codici sul tuo stesso dispositivo usando uno standard aperto (TOTP), così non c'è alcun messaggio da intercettare. Le chiavi di sicurezza fisiche e le passkey, basate sugli standard FIDO2 e WebAuthn, vanno oltre: sono progettate per resistere al phishing, perché la chiave verifica l'indirizzo reale del sito prima di rispondere.

Quali secondi fattori sono i più robusti

Il phishing è proprio la falla che i secondi fattori più robusti sono fatti per chiudere. Una pagina di accesso falsa e convincente può catturare sia la tua password sia un codice digitato se vieni indotto a inserirli. Una chiave fisica o una passkey è legata al sito autentico, così nemmeno una copia dall'aspetto perfetto può usarla. Per questo molti team di sicurezza ora consigliano di abbandonare i codici SMS a favore almeno di un'app di autenticazione, e di chiavi o passkey per gli account più importanti.

• Attiva la 2FA prima sui tuoi account più importanti: email principale, banca e gestore di password
• Preferisci un'app di autenticazione (TOTP) o una chiave di sicurezza fisica ai codici SMS, intercettabili con il SIM swapping
• Usa chiavi fisiche o passkey (FIDO2/WebAuthn) per gli account sensibili: resistono al phishing verificando il sito reale
• Conserva i codici di backup monouso offline per poter rientrare se perdi il telefono
• Abbina la 2FA a un gestore di password: ogni password resta unica e robusta, e una singola fuga non apre nulla

L'argomento per attivare la 2FA è semplice: le password trapelano di continuo. Miliardi di credenziali rubate circolano online da violazioni passate, e le persone riutilizzano la stessa password su molti siti, così che una singola fuga può sbloccare più account. Un secondo fattore spezza questa catena. Anche se la tua password compare in una violazione, un aggressore non può comunque accedere senza il codice o il dispositivo che solo tu possiedi. Anche per questo un gestore di password e la 2FA funzionano bene insieme: il gestore mantiene ogni password unica e robusta, e la 2FA protegge gli account che contano anche se una password viene esposta.

Perché dovresti attivarla, e come

Configurare la 2FA richiede pochi minuti per account e si trova nelle impostazioni di sicurezza o di accesso della maggior parte dei servizi. Inizia dagli account la cui perdita farebbe più male: la tua email principale (perché può reimpostare tutto il resto), le tue app bancarie e di pagamento e il tuo stesso gestore di password. Quando puoi scegliere, preferisci un'app di autenticazione o una chiave fisica all'SMS. Quando attivi la 2FA, il servizio mostra di solito una serie di codici di backup monouso: conservali in un luogo sicuro e offline, perché sono il modo per rientrare se perdi il telefono.

Perdere l'accesso al secondo fattore è il timore che frena molte persone, e conviene pianificarlo invece di evitarlo. Conserva i codici di backup, registra un secondo metodo dove il servizio lo consente (ad esempio una chiave di riserva o un secondo dispositivo), e alcune app di autenticazione possono sincronizzare in modo sicuro i tuoi codici tra i tuoi dispositivi, così un telefono perso non ti chiude fuori. I pochi minuti dedicati alle opzioni di recupero sono molto meno dolorosi della perdita di un account a favore di chi ha indovinato o rubato una sola password.

E se perdi il tuo secondo fattore?

L'autenticazione a due fattori è uno dei passi di privacy e sicurezza di maggior valore che puoi compiere, ed è in gran parte gratuita. Non sistemerà una password debole o riutilizzata, e i codici SMS non sono infallibili, ma aggiungere un qualsiasi secondo fattore trasforma la tua password da unico punto di rottura in una serratura tra due. Per gli account che custodiscono la tua identità, il tuo denaro e i tuoi messaggi, quella seconda serratura vale ampiamente i pochi minuti necessari a configurarla.