Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Minacce

Autenticazione a due fattori: proteggi i tuoi account

Scopri cos'è l'autenticazione a due fattori, come attivarla e proteggere i tuoi account da attacchi e furti di credenziali.

2FA

10 Luglio 2025

Indice dei contenuti

  • Le debolezze delle password
  • Che cos’è l’autenticazione a due fattori
  • Autenticazione a 3 fattori: lo SPID
  • Come funziona l’autenticazione a due fattori
  • Come ottenere il secondo fattore di autenticazione di tipo numerico
  • OTP con SMS: meglio evitare a causa dello sneaky phishing
  • Applicazioni dedicate per ottenere gli OTP
  • Token USB per i due fattori: lo standard del futuro
  • Come attivare l’autenticazione a due fattori: su Google, Facebook e Instagram
  • I servizi che offrono l’autenticazione a due fattori
  • Evoluzione della 2FA: standard per la sicurezza

Proteggere i propri account online è diventato essenziale. Una delle difese più efficaci è l’autenticazione a due fattori (2FA), un sistema che aggiunge un ulteriore livello di sicurezza oltre alla semplice password.

In questo articolo approfondiremo cosa si intende per autenticazione a due fattori, quando e come attivarla, i diversi metodi disponibili e le migliori soluzioni per custodire in modo sicuro le proprie credenziali digitali.

Le debolezze delle password

Nonostante l’invito a scegliere password complesse, gli utenti continuano a utilizzare combinazioni deboli e facilmente intuibili. Password come “123456” o “password” sono tra le più comuni.

Questo problema è aggravato dal riutilizzo della stessa password su più piattaforme, aumentando il rischio in caso di violazione. Gli attacchi di forza bruta, i tentativi di phishing e i database rubati rendono evidente che la sola password non può più essere considerata sufficiente per proteggere l’accesso ai nostri account.

Che cos’è l’autenticazione a due fattori

L’autenticazione a due fattori (two factor authentication o 2FA) è un metodo di sicurezza che richiede all’utente di dimostrare la propria identità attraverso due elementi distinti e indipendenti tra loro. Questi elementi appartengono a categorie differenti:

  • Qualcosa che conosce
    Come una password, un PIN personale, o una risposta a una domanda segreta.
  • Qualcosa che possiede
    Ad esempio uno smartphone, un token fisico (come una chiave USB di sicurezza) o un dispositivo di autenticazione OTP.

L’obiettivo dell’autenticazione a due fattori è quello di creare una seconda barriera all’accesso: anche se un criminale informatico riesce a scoprire o indovinare la password, senza il secondo fattore non potrà comunque entrare nell’account.

Perché è importante?

Le password, per quanto complesse, possono essere rubate attraverso:

  • Phishing (email ingannevoli che spingono l’utente a rivelare le proprie credenziali)
  • Database violati (furto di password da server compromessi)
  • Attacchi brute-force (tentativi sistematici di combinazioni fino a trovare la password)

Aggiungere un secondo fattore riduce drasticamente il rischio di accesso non autorizzato.

Esempio pratico: Accesso a Facebook con 2FA

Immaginiamo che Lucia voglia accedere al suo profilo Facebook:

  1. Inserisce la password corretta.
  2. Dopo aver inserito la password, Facebook le chiede il codice di verifica generato dall’app Google Authenticator Installata sul suo smartphone.
  3. Solo inserendo il codice numerico temporaneo può completare l’accesso.

Se un criminale avesse la sua password ma non avesse accesso al suo telefono, non riuscirebbe a entrare nel suo account.

Esempio pratico con token fisico: YubiKey su Google

Marco utilizza una YubiKey configurata per il suo account Google:

  1. Inserisce la password.
  2. Google gli chiede di inserire la YubiKey nella porta USB del computer.
  3. Solo dopo aver premuto il pulsante della YubiKey, può accedere.

In questo scenario, il tentativo di accesso sarebbe impossibile senza possedere fisicamente la chiave.

Autenticazione a 3 fattori: lo SPID

Un esempio di evoluzione è l’autenticazione a tre fattori, come quella utilizzata dallo SPID (Sistema Pubblico di Identità Digitale).

Oltre a password e dispositivo, viene richiesto un ulteriore elemento di verifica, come un riconoscimento biometrico o una firma digitale. L’autenticazione a tre fattori garantisce un livello di sicurezza ancora più elevato, indispensabile per accedere a servizi della pubblica amministrazione e transazioni sensibili.

Come funziona l’autenticazione a due fattori

Il funzionamento dell’autenticazione a due fattori (dual authentication) si basa sull’obbligo di superare due livelli distinti di verifica prima di ottenere l’accesso a un account o a un sistema.

Vediamo nel dettaglio i passaggi principali:

1. Inserimento delle credenziali

Il primo passo è il tradizionale inserimento delle credenziali:

  • Username o indirizzo email
  • Password associata all’account

Questo rappresenta il primo fattore: “qualcosa che conosci”.

2. Richiesta del secondo fattore di autenticazione

Una volta che il primo fattore è stato validato correttamente, il sistema richiede un secondo elemento di verifica. Questo può essere:

  • Un codice numerico temporaneo (OTP), generato da un’app di autenticazione o ricevuto via SMS
  • Una notifica push inviata al dispositivo registrato, dove l’utente conferma o nega l’accesso
  • Un token fisico o una chiave USB di sicurezza (es. YubiKey, Feitian) da inserire o avvicinare al device

3. Accesso consentito solo dopo la verifica di entrambi i fattori

L’accesso è concesso soltanto dopo il corretto inserimento o la conferma di entrambi i fattori.
Se uno dei due passaggi fallisce, l’accesso viene negato, proteggendo così l’account anche nel caso in cui la password fosse compromessa.

Esempio pratico: accesso a un servizio bancario online

  • Laura accede al sito della sua banca inserendo:
    • Username
    • Password
  • Dopo il login, la banca invia una notifica push all’app mobile di Laura che richiede:
    • Conferma dell’accesso
    • Biometria (impronta digitale)
  • Solo dopo l’approvazione tramite l’app e la verifica biometrica, l’accesso al conto viene completato.

Perché questo sistema è efficace?

  • Se un attaccante ruba la password di Laura, senza accesso al suo smartphone non potrà completare la seconda verifica.
  • Se Laura perde il telefono, i sistemi sicuri offrono codici di backup o metodi di recupero per ripristinare l’accesso.

Come ottenere il secondo fattore di autenticazione di tipo numerico

Un metodo molto diffuso per il secondo fattore è l’uso di codici OTP (One Time Password) numerici. Questi possono essere ricevuti via SMS, generati da apposite applicazioni o da dispositivi hardware dedicati. Vediamo più nel dettaglio le varie possibilità.

OTP con SMS: meglio evitare a causa dello sneaky phishing

Ricevere un OTP tramite SMS è una delle opzioni più comuni e semplici da attivare. Tuttavia, non è la più sicura. Gli attacchi di sneaky phishing e il fenomeno del SIM swapping (duplicazione della scheda SIM da parte di un malintenzionato) mettono a rischio questa modalità.

I codici via SMS possono essere intercettati o rubati con tecniche di ingegneria sociale, rendendo vulnerabile l’intero processo di two factor login.

Google Authenticator

Applicazioni dedicate per ottenere gli OTP

Molto più sicure sono le applicazioni dedicate alla generazione di OTP. Alcune delle più popolari sono:

  • Google Authenticator
  • Authy
  • Microsoft Authenticator

Queste app generano codici nuovi ogni 30 secondi direttamente sul dispositivo dell’utente, indipendentemente da una connessione dati. Integrarle nei tuoi account ti consente di rafforzare il two part authentication senza i rischi degli SMS.

Esempio di configurazione con Google Authenticator:

1. Scarica l’app da Google Play o App Store

2. Scansiona il QR code fornito dal servizio (es. Facebook o Google)

3. Inserisci il codice OTP per completare la configurazione

Token USB per i due fattori: lo standard del futuro

Un’altra evoluzione della two factor authentication è rappresentata dai token hardware come le chiavi di sicurezza USB, ad esempio YubiKey.

Questi dispositivi forniscono un secondo fattore fisico che deve essere collegato al computer o avvicinato via NFC. Con la crescente adozione di standard come FIDO2 e WebAuthn, i token stanno diventando il futuro della two factor auth.

Come attivare l’autenticazione a due fattori: su Google, Facebook e Instagram

Attivare l’autenticazione a due fattori (2FA) sulle piattaforme più popolari è un passo fondamentale per aumentare la sicurezza dei propri account. Sebbene il procedimento sia semplice, ogni piattaforma offre diverse opzioni per la configurazione e la gestione del secondo fattore.

Vediamo come fare nel dettaglio.

Su Google

Per proteggere il proprio Account Google con la two factor authentication:

  1. Accedi al tuo account Google tramite il browser.
  2. Vai alla sezione Sicurezza (nella barra laterale del menu dell’account).
  3. Scorri fino alla voce Verifica in due passaggi.
  4. Clicca su Inizia e segui la procedura guidata.

Durante la configurazione, Google ti chiederà di scegliere il secondo fattore. Le opzioni disponibili includono:

  • Codice SMS inviato al tuo numero di telefono
  • Google Authenticator o un’altra app di autenticazione per generare codici OTP
  • Chiave di sicurezza fisica (es. una YubiKey)

Esempio pratico
Puoi scegliere di impostare Google Authenticator, scansionare il QR code e iniziare a ricevere codici temporanei da inserire a ogni accesso.

Su Facebook

Per attivare la autenticazione a due fattori su Facebook:

  1. Accedi al tuo account Facebook.
  2. Clicca sull’icona del menu (in alto a destra) e vai su Impostazioni e privacy > Impostazioni.
  3. Vai su Protezione e accesso.
  4. Trova la sezione Autenticazione a due fattori e clicca su Modifica.
  5. Segui le istruzioni per scegliere il metodo preferito.

Facebook ti permette di scegliere tra:

  • Ricezione di codici via SMS
  • App di autenticazione come Google Authenticator o Duo Mobile
  • Chiavi di sicurezza hardware (supportate da alcuni browser)

Nota: Facebook consente anche di configurare codici di recupero da usare in caso di perdita del dispositivo principale.

Su Instagram

Instagram, di proprietà di Meta, offre anch’esso una configurazione abbastanza simile:

  1. Apri l’app Instagram e vai sul tuo profilo.
  2. Tocca le tre linee orizzontali (hamburger menu) in alto a destra.
  3. Vai su Impostazioni > Sicurezza > Autenticazione a due fattori.
  4. Tocca Inizia.

Instagram ti offrirà diverse opzioni:

  • Codici via SMS
  • App di autenticazione (consigliato)
  • Codici di backup da salvare offline

Esempio pratico
Scegliendo l’app di autenticazione, Instagram ti guiderà nella connessione a Google Authenticator o app simili, generando codici temporanei a ogni accesso.

In tutti i casi, è altamente consigliabile evitare l’uso del solo SMS per ricevere il codice, perché questa modalità è più vulnerabile agli attacchi come il SIM swapping o il sneaky phishing.
Usare un’app di autenticazione o un token fisico è la scelta più sicura.

I servizi che offrono l’autenticazione a due fattori

Oggi quasi tutte le principali piattaforme offrono la two factor authentication:

  • Google
  • Facebook
  • Instagram
  • Amazon
  • PayPal
  • Dropbox
  • Twitter
  • LinkedIn

La disponibilità di two factor login è ormai uno standard richiesto dagli utenti più attenti alla sicurezza.

Evoluzione della 2FA: standard per la sicurezza

L’autenticazione a due fattori (2FA) si è evoluta notevolmente negli ultimi anni, rispondendo alla necessità di protezioni sempre più avanzate contro le minacce informatiche.

Oggi, non ci si limita più all’inserimento di una password seguita da un codice OTP: le nuove tecnologie stanno rivoluzionando il concetto stesso di two factor authentication.

Metodi avanzati di autenticazione

1. Autenticazione biometrica
Le tecnologie biometriche stanno diventando sempre più comuni. Oggi molti smartphone e laptop supportano:

  • Impronte digitali (es. Touch ID di Apple, sensori di impronte su Android)
  • Riconoscimento facciale (es. Face ID)
  • Riconoscimento dell’iride (meno diffuso, ma estremamente sicuro)

Questi metodi offrono un secondo fattore molto robusto, difficile da duplicare o rubare, migliorando la sicurezza senza sacrificare la comodità.

2. Smartcard fisiche
Le smartcard sono utilizzate in contesti aziendali e istituzionali per autenticare gli utenti.
Funzionano inserendo la carta in un lettore dedicato o avvicinandola a un dispositivo NFC, combinando così il possesso fisico di un oggetto sicuro con eventuali credenziali memorizzate.

3. Notifiche push intelligenti
Molti servizi ora inviano notifiche push sui dispositivi mobili che richiedono una semplice approvazione con un tocco.

Esempio
Quando tenti di accedere al tuo account, ricevi una notifica sullo smartphone che ti chiede “Stai tentando di accedere?” con opzioni “Sì” o “No”.
Questa modalità semplifica l’esperienza utente e offre protezione contro gli attacchi di phishing.

Verso un futuro senza password: FIDO2 e WebAuthn

I protocolli FIDO2 e WebAuthn rappresentano l’evoluzione naturale della 2FA:

  • FIDO2 è uno standard sviluppato da un consorzio di aziende (tra cui Google, Microsoft e Mozilla) che consente agli utenti di autenticarsi online senza utilizzare password, sfruttando dispositivi fisici come chiavi di sicurezza o l’autenticazione biometrica integrata.
  • WebAuthn è un’API web standardizzata che permette ai browser di supportare queste nuove forme di autenticazione.

Esempio pratico
Con FIDO2 attivo, per accedere a un sito compatibile ti basterà collegare la tua chiave USB o confermare il riconoscimento facciale, senza dover digitare alcuna password.

Soluzioni per proteggere al meglio tutte le credenziali

Utilizzare la autenticazione a due fattori è fondamentale, ma anche la gestione sicura delle password lo è. Alcuni strumenti eccellenti per proteggere le credenziali sono i gestori di password.

NordPass, gestore di password con diverse funzionalità

NordPass permette di archiviare password, carte di credito e note sicure in un unico luogo. Supporta l’autenticazione biometrica e offre funzionalità avanzate come la scansione delle violazioni di dati.

NordLocker, password al sicuro con la criptazione

NordLocker consente di criptare file sensibili in cloud o in locale, proteggendo i tuoi dati anche se il dispositivo venisse compromesso. È uno strumento particolarmente utile per archiviare in sicurezza le informazioni di autenticazione.

1Password, mettere al sicuro le chiavi digitali

1Password è uno dei migliori gestori di password disponibili. Offre integrazione perfetta con i principali browser, supporto per OTP e modalità di viaggio per nascondere dati sensibili durante gli spostamenti.

Autenticazione a due fattori: le indicazioni del NIST

Il NIST (National Institute of Standards and Technology) raccomanda l’utilizzo della two factor authentication, preferendo metodi che non si basano sugli SMS e privilegiando soluzioni basate su token hardware o app di autenticazione. Secondo le linee guida più recenti, è essenziale ridurre il rischio di phishing e garantire la protezione della privacy dell’utente.

La Strong Customer Authentication (SCA) nel mondo bancario

Nel settore finanziario, la Strong Customer Authentication (SCA) è diventata obbligatoria nell’Unione Europea con la direttiva PSD2. Prevede l’uso di almeno due elementi tra:

  • Conoscenza (qualcosa che solo l’utente sa)
  • Possesso (qualcosa che solo l’utente possiede)
  • Inerenza (qualcosa che identifica l’utente, es. biometria)

Le banche e i servizi di pagamento sono tenuti a implementare forme solide di two factor authentication per proteggere i clienti durante l’accesso e le transazioni online.

Domande e risposte

  1. Cosa si intende per autenticazione a due fattori?
    È un sistema di sicurezza che richiede due elementi distinti per confermare l’identità di un utente.
  2. Quando conviene attivare l’autenticazione a due fattori?
    Sempre, specialmente su email, social network, servizi bancari e cloud storage.
  3. Qual è il metodo più sicuro per il secondo fattore?
    L’uso di token hardware come le chiavi USB basate su FIDO2.
  4. È sicuro ricevere OTP via SMS?
    No, è meglio usare app dedicate come Google Authenticator.
  5. Quali app sono consigliate per la generazione degli OTP?
    Google Authenticator, Authy e Microsoft Authenticator.
  6. Cosa succede se perdo il mio token USB?
    La maggior parte dei servizi permette di impostare metodi di recupero alternativi.
  7. Cosa significa Strong Customer Authentication (SCA)?
    È una misura obbligatoria che impone almeno due elementi di verifica per i pagamenti online.
  8. Posso usare 2FA su Instagram?
    Sì, Instagram supporta l’autenticazione a due fattori tramite app o SMS.
  9. Quali gestori di password sono i migliori?
    NordPass, 1Password e NordLocker sono tra i più affidabili.
  10. L’autenticazione a due fattori elimina del tutto i rischi?
    No, ma li riduce drasticamente se associata a buone pratiche di sicurezza.
2
To top