L'autenticazione a due fattori, spiegata in modo semplice

L'autenticazione a due fattori è l'impostazione di sicurezza con il maggior impatto che la maggior parte delle persone non usa. I numeri pubblicati da Microsoft dicono che blocca oltre il 99% dei furti automatizzati di account. Eppure ha la fama di essere scomoda, in parte perché i tre tipi più comuni ("codice via SMS", "app autenticatrice", "chiave di sicurezza") vengono trattati come se fossero intercambiabili. Non lo sono. Ecco la versione pratica.

Cosa fa davvero il 2FA

Le password trapelano in continuazione. Dump di database, pagine di phishing, malware del browser, riutilizzo delle password: ci sono troppi modi perché una delle tue finisca nel foglio di calcolo di qualcuno. Il 2FA aggiunge una seconda verifica legata a qualcosa che hai, non solo a qualcosa che sai. Gli aggressori che rubano la tua password devono rubare anche quel secondo fattore, in tempo reale, sullo stesso dispositivo: molto più difficile.

2FA via SMS

Arriva un codice di sei cifre per SMS. Lo digiti. È il più facile da usare perché ce l'ha già qualunque telefono, ed è proprio per questo che è il livello minimo accettabile: basta per fermare i bot di credential stuffing, ma è vulnerabile agli attacchi di SIM-swap (un attaccante convince l'operatore a portarsi via il tuo numero) e all'intercettazione silenziosa di SMS sulle reti più deboli.

Va bene per: account di basso valore in cui preferisci non installare un'altra app. Forum, e-commerce, mailing list.

Va male per: email, banca, portali della pubblica amministrazione, qualunque cosa controlli altri account.

App autenticatrici (TOTP)

App come Google Authenticator, 1Password, Bitwarden e Authy generano un nuovo codice di sei cifre ogni 30 secondi, ricavato da un segreto conservato solo sul tuo dispositivo. Nessun SMS, nessun operatore coinvolto: i codici funzionano anche offline. Gli attacchi di phishing che catturano la tua password e un singolo codice possono ancora avere successo, ma il SIM-swap non è più rilevante.

Consiglio di setup: quando un sito ti mostra il QR code, salva accanto anche il seed in formato testuale (la maggior parte delle app autenticatrici lo esporta). Se perdi il telefono senza il seed e senza i codici di recupero, dovrai resettare ogni account da zero.

Va bene per: praticamente tutto. La maggior parte dei provider email, delle piattaforme social, degli exchange di criptovalute e degli strumenti per sviluppatori supporta TOTP, ed è gratis.

Chiavi di sicurezza (FIDO2 / WebAuthn / passkey)

Una chiave USB o NFC (YubiKey, Titan, di recente anche le "passkey" integrate nel portachiavi di iOS e Android) che firma crittograficamente la sfida di login. Fondamentale: è legata al dominio del sito; una pagina di phishing identica a quella vera semplicemente non otterrà una firma. È l'unico metodo 2FA comune che sconfigge il phishing ben costruito.

Va bene per: email principale, password manager, qualunque cosa tu non possa permetterti di perdere. Compra due chiavi; registrale entrambe; tieni una in un cassetto.

Dove si inseriscono i numeri temporanei

I numeri SMS temporanei sono ottimi per la fase iniziale di registrazione, ma non sono adatti al 2FA via SMS continuo: nel momento in cui dovresti ricevere un codice, il numero è già tornato nel pool. Buona pratica: registrati con un numero temporaneo, configura subito il TOTP nelle impostazioni di sicurezza dell'account e conserva i codici di recupero in un posto sicuro. A quel punto il numero temporaneo può sparire.

I codici di recupero meritano una menzione

Quasi tutte le schermate di configurazione del 2FA ti propongono una lista di codici di recupero monouso. Stampali o salvali nel tuo password manager. Sono il modo in cui rientri se perdi ogni dispositivo. Non saltare questo passaggio: recuperare un account senza di essi richiede spesso documenti d'identità e tempi di settimane.

Raccomandazioni rapide

• Email e password manager: chiave di sicurezza in primis, TOTP come riserva.
• Banca, broker, exchange: la modalità più forte che offrono.
• Social, strumenti dev, SaaS di lavoro: TOTP.
• Forum casuale che chiede un numero di telefono: SMS temporaneo e poi TOTP dopo la registrazione.