Hai dubbi sull'autenticazione multifattore e sull'autenticazione a due fattori? Le principali domande e i vantaggi da conoscere

Autenticazione a due fattori (2FA) richiede due diverse forme di identificazione prima di concedere l'accesso a un account, a un'applicazione o a dati sensibili. Questo estende il processo di accesso oltre un singolo passaggio e lo rende più sicuro rispetto all'uso del solo nome utente e password. Protegge gli account garantendo che, anche se qualcuno ottiene una password, non possa comunque accedere alle informazioni senza il secondo passaggio di verifica.

I tipi di fattori di autenticazione includono:

• Qualcosa che l'utente sa (password, PIN)

• Qualcosa che l'utente possiede (telefono, chiave di sicurezza)

• Qualcosa di unico dell'utente (impronta digitale, scansione del volto)

• Un luogo in cui si trova l'utente (posizione)

Questa separazione tra i due fattori è ciò che protegge gli account degli utenti, perché un utente malintenzionato dovrebbe compromettere entrambi, e non solo una password, per ottenere l'accesso.

La 2FA aggiunge un livello di sicurezza fondamentale agli account. Ecco i principali vantaggi:

• Protezione più forte contro le password rubate: anche se qualcuno ottiene una password tramite una violazione dei dati o un attacco di phishing, non può comunque accedere all'account senza il secondo fattore.

• Difesa contro i metodi di attacco più comuni: la 2FA blocca molte delle tattiche usate dagli aggressori, dal credential stuffing ai tentativi di forza bruta.

• Più difficile da aggirare per gli aggressori: violare un account diventa notevolmente più difficile quando sono richiesti più passaggi di verifica. 

• Riduzione del rischio di compromissione dell'account: gli account personali, finanziari e di lavoro restano più sicuri, proteggendo dati e identità.

• Supporta la conformità e le best practice di sicurezza: molte organizzazioni richiedono la 2FA per soddisfare gli standard normativi e mantenere un solido livello di sicurezza.

• Offre tranquillità: gli account dispongono di una protezione aggiuntiva a loro favore.

Autenticazione a due fattori (2FA), verifica in due passaggi (2SV) e autenticazione multifattore (MFA) si riferiscono in genere allo stesso processo: qualcosa in più di un singolo passaggio per accedere a un account. Sebbene questi termini siano spesso usati in modo intercambiabile, esistono distinzioni tecniche che vale la pena comprendere. 

Autenticazione multifattore(MFA) è la categoria più ampia. Si riferisce a qualsiasi processo di sicurezza che richiede due o più tipi diversi di fattori di verifica per accedere a un account. L'MFA può prevedere qualsiasi combinazione di fattori: qualcosa che un utente sa, qualcosa che un utente possiede o qualcosa che un utente è.

Autenticazione a due fattori (2FA) è una forma specifica di MFA che utilizza esattamente due fattori appartenenti a categorie diverse. Ad esempio, una password (qualcosa che un utente sa) combinata con un codice dal telefono (qualcosa che un utente possiede).

Verifica in due passaggi (2SV) richiede due passaggi per accedere, ma questi passaggi possono usare lo stesso tipo di fattore. Ad esempio, inserire una password e poi ricevere un codice all'indirizzo email registrato: entrambi si basano su qualcosa che un utente sa o a cui ha accesso, anziché su due tipi di fattori chiaramente diversi.

Nella pratica, la maggior parte dei servizi usa questi termini in modo poco rigoroso. Ciò che conta di più è che un utente aggiunga un livello di verifica in più oltre alla sola password.

L'autenticazione a due fattori può variare in termini di sicurezza a seconda del metodo utilizzato. In generale, le chiavi di sicurezza offrono la protezione più forte, seguite dalle app di autenticazione, poi dall'email, mentre gli SMS sono l'opzione meno sicura. Di seguito una panoramica dei metodi 2FA più comuni, con relativi pro e contro.

Ecco una panoramica dei metodi 2FA più comuni, ordinati da quello generalmente considerato più sicuro a quello meno sicuro, con relativi pro e contro:

Chiave di sicurezza

Pro: molto sicura come dispositivo hardware autonomo Contro: senza metodi a due fattori aggiuntivi, una chiave di sicurezza smarrita potrebbe impedire involontariamente a un utente di accedere ai propri account

App di autenticazione

Pro: semplice, facile da configurare, alcune possono essere utilizzate su più piattaforme Contro: se l'app di autenticazione non è disponibile su più dispositivi, gli utenti possono restare esclusi dagli account se un dispositivo viene smarrito, rubato o cancellato prima che abbiano creato copie delle chiavi di autenticazione

Email

Pro: semplice, facile da configurare Contro: se anche l'email viene compromessa, questo metodo non offrirà protezione

Autenticazione vocale

Pro: semplice, a mani libere e comoda per l'accessibilità Contro: vulnerabile ad attacchi basati su registrazioni vocali o deepfake

SMS

Pro: semplice, predefinito per molti siti web Contro: questo metodo è vulnerabile agli attacchi di SIM-jacking

Usare l'autenticazione a due fattori in qualsiasi forma è meglio che non usarla affatto, indipendentemente dal metodo.

Le passkey sono un metodo di autenticazione più recente che utilizza chiavi crittografiche archiviate su un dispositivo per verificare l'identità. A differenza delle chiavi di sicurezza fisiche che gli utenti inseriscono in un dispositivo o avvicinano a esso, le passkey sono credenziali digitali presenti su telefoni, computer o gestori di password. Gli utenti le sbloccano usando dati biometrici come impronte digitali o volti, oppure un PIN del dispositivo. 

Le passkey sono progettate per sostituire in un unico passaggio sia le password sia la 2FA tradizionale. Quando accedono con una passkey, gli utenti dimostrano sia di avere il dispositivo autorizzato (qualcosa che possiedono) sia di poterlo sbloccare (qualcosa che sanno o che sono). Questo combina più fattori in un’unica azione semplificata. 

Nella maggior parte dei casi, la 2FA non è necessaria quando si usano le passkey, perché le passkey offrono sicurezza multifattore per progettazione. Tuttavia, alcuni servizi offrono ancora opzioni di sicurezza aggiuntive, come la richiesta di un secondo dispositivo o di un metodo di autenticazione di backup per le azioni ad alto rischio. 

Per saperne di più su come funzionano le passkey e dove usarle, consulta questo articolo su cosa sono le passkey.

Non tutti gli account comportano lo stesso livello di rischio. Concentrati prima sulla protezione di questi:

Account email: l’email è la porta d’accesso a tutto il resto. Gli aggressori possono usarla per reimpostare le password di altri account, rendendola una delle risorse più importanti da proteggere. 

Account finanziari: banche, carte di credito, piattaforme di investimento e servizi di pagamento come PayPal o Venmo dovrebbero sempre avere la 2FA o le passkey abilitate. Una violazione in questo ambito può portare a perdite finanziarie dirette. 

Gestori di password: se un gestore di password conserva le credenziali di tutti gli account, proteggerlo con la 2FA o una passkey è essenziale. La compromissione di questo unico account potrebbe esporre tutto il resto. 

Account di lavoro e di archiviazione cloud: gli account legati al lavoro o che archiviano documenti sensibili, foto o backup meritano una protezione aggiuntiva.

Social media e piattaforme di comunicazione: anche se possono sembrare meno critici, questi account possono essere usati per furto d’identità, truffe o per impersonare gli utenti.

Qualsiasi account con dati personali sensibili: portali sanitari, servizi pubblici e account contenenti informazioni private devono essere protetti per prevenire furti d’identità o frodi. 

Il motivo per cui questi account sono i più importanti è semplice: sono molto preziosi di per sé oppure possono essere sfruttati per compromettere altri account. Proteggerli riduce in modo significativo il rischio complessivo. 

Cerchi un modo sicuro per gestire tutte queste credenziali? Scopri il gestore di password personale gratuito di Bitwarden. 

Se arriva un codice 2FA non richiesto, di solito significa che qualcuno sta tentando di accedere all’account. Ha la password e sta cercando di completare la procedura di accesso.

Ecco cosa fare:

• Non condividere il codice: non fornirlo mai a nessuno, anche se afferma di far parte dell’assistenza.

• Non approvare alcuna richiesta di accesso: se ricevi una notifica push che chiede di approvare un accesso, rifiutala.

• Cambia immediatamente la password: usa una password complessa e univoca che non sia stata utilizzata altrove.

• Controlla l’attività dell’account: cerca eventuali accessi o modifiche non autorizzati.

• Abilita misure di sicurezza aggiuntive: valuta il passaggio a un metodo 2FA più sicuro se usi gli SMS.

I codici TOTP generati dalle app di autenticazione sono più sicuri dei codici SMS, ma non sono del tutto infallibili. Gli aggressori possono comunque carpirli con attacchi di ingegneria sociale o intercettarli tramite attacchi in tempo reale.

I metodi comuni includono:

• Pagine di accesso false: gli aggressori creano repliche convincenti di siti legittimi. Quando gli utenti inseriscono password e codice TOTP, acquisiscono entrambi e li usano immediatamente per accedere.

• Attacchi relay: l’aggressore agisce da intermediario, inoltrando credenziali e codice TOTP al sito reale in tempo reale prima che il codice scada.

• Ingegneria sociale: i truffatori possono indurre gli utenti a leggere il codice TOTP al telefono o tramite messaggio. Per saperne di più sugli attacchi di ingegneria sociale, consulta questo blog sugli attacchi di ingegneria sociale.

Per ridurre il rischio:

• Verifica sempre l’URL prima di inserire le credenziali

• Usa passkey o chiavi di sicurezza hardware quando possibile

• Diffida delle richieste urgenti di accesso o di verifica degli account

• Abilita protezioni aggiuntive, come gli avvisi di accesso

Un attacco di MFA fatigue, detto anche prompt bombing, si verifica quando un aggressore invia ripetutamente richieste di approvazione dell’accesso a un dispositivo, a volte decine o centinaia di volte. L’obiettivo è sopraffare e infastidire gli utenti finché non ne approvano una accidentalmente o intenzionalmente, solo per interrompere le notifiche.

Questo tipo di attacco funziona perché l’aggressore ha già la password. Sta solo aspettando l’approvazione del proprio accesso.

Come mantenere la protezione:

• Non approvare mai una richiesta di accesso che non hai avviato: se continuano a comparire richieste, rifiutale e indaga immediatamente.

• Cambia subito la password: Qualcuno la possiede e sta tentando di accedere.

• Usa la corrispondenza numerica o richieste consapevoli del contesto: Alcuni servizi mostrano nella schermata di accesso un numero che deve essere inserito nell'app, rendendo più difficile per gli aggressori ingannare gli utenti.

• Passa a chiavi di sicurezza hardware o passkey: Questi metodi non si basano su richieste di approvazione e non possono essere aggirati tramite affaticamento.

Attiva gli avvisi di accesso: Ricevi notifiche sulle attività sospette per agire rapidamente.

Gli aggressori non possono "condividere" direttamente i codici 2FA nello stesso modo in cui condividono le password rubate nelle violazioni dei dati. Tuttavia, possono abusare della configurazione 2FA se ottengono accesso ad account o servizi collegati.

Ad esempio:

• Se accedono all'account email, possono ricevere i codici 2FA inviati via email oppure usarlo per reimpostare le password e disattivare la 2FA su altri account.

• Se controllano il numero di telefono (tramite SIM swapping), possono intercettare i codici basati su SMS.

• Se compromettono i backup dell'app di autenticazione archiviati nei servizi cloud, potrebbero riuscire a ripristinare i codici TOTP sul proprio dispositivo.

Il punto chiave: proteggere gli account e i dispositivi collegati alla configurazione della 2FA è importante quanto la 2FA stessa. Usa password univoche per ogni account e attiva una 2FA forte su email, account dell'operatore telefonico e qualsiasi servizio di backup cloud.

In caso di violazione, agisci rapidamente per riprendere il controllo e proteggere gli account. Per ulteriori indicazioni, consulta cosa fare se vieni hackerato.

I gestori di password semplificano la 2FA occupandosi della parte più impegnativa della gestione della sicurezza. Possono generare e memorizzare password complesse per tutti gli account, riducendo lo sforzo mentale di ricordare decine di credenziali univoche. Molti gestori di password archiviano anche in modo sicuro i codici di recupero 2FA in un unico luogo protetto, così i codici di backup restano organizzati e accessibili quando servono, senza intasare caselle di posta o documenti.

Il risultato? Sicurezza a più livelli senza complicazioni, con configurazione dell'autenticazione e opzioni di recupero centralizzate e crittografate.

Usa password forti e univoche per ogni account: non riutilizzare mai le password su siti diversi. Mantieni aggiornati software, sistemi operativi e app per proteggerti dalle vulnerabilità di sicurezza. Quando configuri la 2FA, scegli sempre il metodo più forte disponibile: le chiavi di sicurezza hardware o le passkey sono la soluzione migliore, seguite dalle app di autenticazione, con gli SMS come ultima risorsa.

Conserva i codici di recupero in modo sicuro in un luogo protetto, se possibile separato dai dispositivi di uso quotidiano. Che siano conservati in un file crittografato, in una nota sicura in un gestore di password o scritti e custoditi in un luogo fisico, assicurati che siano accessibili quando servono. Una buona igiene del recupero account significa rivedere periodicamente i codici di backup e verificare che siano ancora accessibili.

Segui queste pratiche chiave per ottenere la massima protezione dalla 2FA:

• Scegli il metodo 2FA più forte disponibile: Usa passkey o chiavi di sicurezza hardware quando possibile, poi app di autenticazione. Evita gli SMS se esistono opzioni migliori.

• Attiva prima la 2FA sugli account più critici: Dai priorità a email, account finanziari, gestori di password e account di lavoro.

• Usa password forti e univoche per ogni account: La 2FA funziona al meglio se abbinata a credenziali non riutilizzate o facilmente indovinabili.

• Conserva i codici di recupero in modo sicuro: Tieni i codici di backup in un luogo sicuro, separato dai dispositivi di uso quotidiano, e verifica di potervi accedere.

• Non condividere mai i codici 2FA né approvare richieste di accesso inattese: I servizi legittimi non chiederanno mai i codici.

• Mantieni aggiornati software e dispositivi: Gli aggiornamenti regolari proteggono dalle vulnerabilità che potrebbero compromettere la configurazione della 2FA.

• Testa il processo di recupero dell'account: Prova periodicamente ad accedere da un nuovo dispositivo per assicurarti di poter accedere agli account se qualcosa va storto.

• Proteggi gli account collegati alla 2FA: Proteggi email, account dell'operatore telefonico e backup dell'app di autenticazione con password forti e 2FA.

Bitwarden semplifica la gestione di password e livelli di sicurezza aggiuntivi in un unico posto.

Supporto 2FA in Bitwarden:

Bitwarden può generare password monouso basate sul tempo (TOTP) direttamente nell'app, eliminando la necessità di un'app di autenticazione separata. Quando accedi a un sito, Bitwarden può compilare automaticamente sia la password sia il codice 2FA, semplificando il processo senza sacrificare la sicurezza. Anche i codici di recupero 2FA possono essere archiviati in modo sicuro insieme alle credenziali di accesso, mantenendo tutto organizzato e accessibile quando serve.

Supporto passkey in Bitwarden:

Bitwarden supporta le passkey, consentendo agli utenti di crearle, archiviarle e usarle su più dispositivi. Quando un sito web o un'app offre l'accesso con passkey, Bitwarden può salvare la passkey e compilarla automaticamente al ritorno, rendendo l'autenticazione senza password semplice e sicura. Le passkey si sincronizzano su tutti i dispositivi in cui è installato Bitwarden, così gli utenti possono accedere senza interruzioni da telefono, tablet o computer.

Pronto a rafforzare la sicurezza online? Bitwarden aiuta a gestire password forti, codici 2FA, codici di recupero e passkey in un unico vault sicuro. Inizia a proteggere gli account oggi stesso con una soluzione che rende la sicurezza comoda.