Nel 2020, con il boom dello smart working e l’aumento esponenziale delle attività online, la sicurezza degli account digitali è diventata una priorità assoluta. Una password, per quanto complessa, non è più sufficiente a garantire la protezione dei tuoi dati. L’autenticazione a due fattori (2FA) aggiunge un livello di sicurezza fondamentale che può fare la differenza tra un account protetto e uno compromesso. Vediamo cos’è, come funziona e come attivarla sui servizi più utilizzati.
Cos’è l’Autenticazione a Due Fattori
L’autenticazione a due fattori è un metodo di sicurezza che richiede due prove di identità distinte per accedere a un account. Invece di affidarsi solo alla password (qualcosa che sai), il sistema chiede anche un secondo fattore appartenente a una categoria diversa:
- Qualcosa che sai: la password o un PIN
- Qualcosa che hai: il tuo smartphone, una chiave hardware, una smart card
- Qualcosa che sei: impronta digitale, riconoscimento facciale, scansione dell’iride
La combinazione di due fattori di categorie diverse rende enormemente più difficile per un attaccante accedere al tuo account. Anche se la password viene rubata tramite phishing o un data breach, senza il secondo fattore l’accesso rimane bloccato.
Naturalmente, la 2FA funziona al meglio quando viene combinata con password robuste. Se vuoi approfondire come creare password davvero sicure, leggi il nostro articolo su come creare una password sicura.
I Metodi di Autenticazione a Due Fattori
SMS e Chiamata Vocale
Il metodo più diffuso prevede l’invio di un codice temporaneo via SMS al numero di telefono associato all’account. Dopo aver inserito la password, il sistema invia un codice numerico (tipicamente di 6 cifre) che deve essere digitato entro pochi minuti. Esiste anche la variante con chiamata vocale, dove il codice viene dettato da un sistema automatico.
Sebbene sia meglio di nessuna protezione aggiuntiva, l’SMS è considerato il metodo meno sicuro di 2FA. Gli attacchi di SIM swapping (dove un criminale convince l’operatore telefonico a trasferire il tuo numero su una nuova SIM) e l’intercettazione degli SMS sono rischi concreti, anche se relativamente rari.
App di Autenticazione (TOTP)
Le app di autenticazione generano codici temporanei direttamente sul tuo dispositivo, senza bisogno di connessione internet o segnale telefonico. Il meccanismo si basa sul protocollo TOTP (Time-based One-Time Password): app e server condividono un segreto iniziale, e l’app genera un nuovo codice ogni 30 secondi basandosi su quel segreto e sull’ora corrente.
Le app più utilizzate sono:
- Google Authenticator: semplice e funzionale, disponibile per Android e iOS
- Microsoft Authenticator: include il backup cloud e la possibilità di approvare gli accessi con un tap
- Authy: supporta il backup crittografato e la sincronizzazione su più dispositivi
- FreeOTP: open source, sviluppato da Red Hat
Le app TOTP sono considerate significativamente più sicure degli SMS, perché il codice non transita sulla rete telefonica e non può essere intercettato.
Chiavi di Sicurezza Hardware
Le chiavi hardware (come YubiKey o Google Titan) sono dispositivi fisici che si collegano al computer via USB o al telefono via NFC per verificare l’identità. Utilizzano i protocolli FIDO U2F o FIDO2/WebAuthn, considerati i più sicuri in assoluto contro il phishing, perché la chiave verifica automaticamente che il sito sia quello autentico.
Il costo di una chiave hardware parte da circa 25-30 euro e rappresenta un investimento minimo rispetto alla protezione offerta. Sono particolarmente consigliate per account ad alto rischio: email principale, home banking, account di amministrazione dei siti web.
Come Attivare la 2FA sui Servizi Più Comuni
Google (Gmail, Drive, YouTube)
Accedi al tuo account Google, vai su Sicurezza, seleziona Verifica in due passaggi e segui la procedura guidata. Google supporta tutti i metodi: SMS, app di autenticazione, prompt sullo smartphone e chiavi hardware. È consigliato configurare almeno due metodi di backup per evitare di restare bloccati.
Facebook e Instagram
Su Facebook, vai in Impostazioni → Protezione e accesso → Autenticazione a due fattori. Puoi scegliere tra app di autenticazione, SMS o chiave hardware. Instagram offre le stesse opzioni in Impostazioni → Sicurezza → Autenticazione a due fattori.
WordPress
Per WordPress esistono diversi plugin che aggiungono la 2FA alla pagina di login. Tra i più affidabili ci sono WP 2FA, Two Factor Authentication e Wordfence (che include la 2FA nella sua suite di sicurezza). Proteggere l’accesso all’area admin di WordPress è fondamentale per la sicurezza del sito.
Home Banking
La maggior parte delle banche italiane ha già implementato la Strong Customer Authentication (SCA) come richiesto dalla direttiva PSD2. Tuttavia, vale la pena verificare che il metodo utilizzato sia adeguato e, dove possibile, preferire l’app della banca rispetto agli SMS.
I Codici di Recupero: Non Dimenticarli
Quando attivi la 2FA, la maggior parte dei servizi ti fornisce dei codici di recupero monouso. Questi codici servono per accedere al tuo account nel caso in cui perdi il telefono, la chiave hardware si rompe o l’app di autenticazione non è disponibile. È fondamentale:
- Salvare i codici di recupero in un luogo sicuro e separato dal dispositivo principale
- Non fotografarli con lo smartphone (se perdi il telefono, perdi anche la foto)
- Stampare una copia e conservarla in un luogo fisico sicuro
- Usare un password manager per archiviarli in modo crittografato
Obiezioni Comuni (e Perché Superarle)
Molte persone resistono all’idea di attivare la 2FA. Ecco le obiezioni più frequenti e le relative risposte:
- “È troppo scomoda”: il processo aggiunge pochi secondi all’accesso. La maggior parte dei servizi permette di considerare attendibili i dispositivi abituali, riducendo la frequenza delle richieste
- “La mia password è già forte”: una password forte protegge da attacchi di forza bruta, ma non dal phishing o dai data breach. La 2FA protegge anche in questi scenari
- “Non ho nulla da nascondere”: un account compromesso non espone solo i tuoi dati, ma può essere usato per attaccare i tuoi contatti, inviare spam o commettere frodi a tuo nome
Per una panoramica più ampia sulle minacce informatiche e su come proteggersi, ti consigliamo il nostro articolo sulla cybersecurity per le PMI e le minacce del 2020.
Metti al Sicuro i Tuoi Account Oggi
Attivare l’autenticazione a due fattori è una delle azioni più semplici e al tempo stesso più efficaci che puoi compiere per la tua sicurezza digitale. Inizia dall’account email principale — è la chiave di accesso a tutti gli altri servizi — e poi estendi la protezione a social media, cloud storage, home banking e ogni altro account che contenga dati sensibili.
Se hai bisogno di aiuto per configurare la 2FA sui tuoi account aziendali o per implementare una strategia di sicurezza completa per la tua impresa, contattaci a su*****@********up.it oppure su WhatsApp al 0465 84 62 45: ti guideremo nella protezione dei tuoi account e dei tuoi dati aziendali.