"Ho una password fortissima" non basta più. Phishing, data breach, malware: ogni mese qualcuno scopre che il proprio account è stato bucato. La seconda chiave (2FA / MFA) sposta drasticamente la barra dell'attacco.
Livello 1 — 2FA via SMS
Da evitare quando possibile.
- ✓ Meglio di niente
- ✗ Vulnerabile a SIM swap (l'attaccante convince il tuo operatore a portargli il numero)
- ✗ Vulnerabile a SS7 attack (intercettazione SMS)
- ✗ Non funziona se sei in roaming o senza segnale
Quando usarlo: solo se il servizio non offre altre opzioni (ahimè, banche italiane spesso).
Livello 2 — TOTP (codice a 6 cifre rotante)
Il classico Google Authenticator, ma preferisci alternative:
- Aegis Authenticator (Android) — open source, backup cifrato
- Bitwarden / Vaultwarden — TOTP integrato nel vault (vantaggio: sync cross-device; svantaggio: 2 fattori sullo stesso dispositivo)
- iOS Passwords (nativo macOS/iOS 18+) — TOTP integrato
- 2FAS — multipiattaforma, sync cifrato
✓ Resistente a SIM swap, ✓ funziona offline, ✗ phishable (l'utente può digitarlo su un sito clone).
Livello 3 — Push notification
Esempi: Google Prompt, Microsoft Authenticator, Duo. Ricevi una notifica "Sei tu? Sì/No". Più comodo del TOTP.
- ✓ User experience eccellente
- ✗ "MFA fatigue attack": l'attaccante spamma push finché non clicchi sì per stanchezza
- ✗ Dipendi dal vendor
Livello 4 — Passkey / FIDO2 in app
Il futuro: l'autenticazione è una chiave crittografica salvata sul telefono/PC, sbloccata con biometria. Non è phishable: il browser verifica il dominio del sito prima di inviare la chiave.
- ✓ Non phishable — l'unica protezione vera dal phishing
- ✓ Una passkey per servizio, niente da ricordare
- ✓ Sync via iCloud Keychain / Google Password Manager / Bitwarden
- ✗ Recovery: se perdi il sync devi gestire la fallback
Livello 5 — YubiKey (chiave hardware FIDO2)
Il top per account critici (root account Google/Microsoft, vault Bitwarden, ssh dei server). Una chiavetta USB-C/NFC che firma la sfida senza mai esporre la chiave privata.
- ✓ Phisicamente impossibile da phishare o copiare
- ✓ Funziona su Mac, Win, Linux, Android, iPhone
- ✓ Supporta FIDO2, U2F, OTP, smart card PIV, OpenPGP, SSH
- ✗ Costo (50-100€ a chiave — minimo 2: ne tieni una sempre nello zaino, una in cassaforte come backup)
- ✗ Se la perdi senza backup → sei fuori dall'account
Strategia consigliata
| Tipo account | 2FA consigliato |
|---|---|
| Email principale (Gmail, iCloud) | 2x YubiKey + passkey backup |
| Vault password (Bitwarden) | 2x YubiKey |
| Banca | App ufficiale push (SCA imposta dalla banca) |
| Social (X, Instagram, FB) | TOTP via Aegis o passkey |
| GitHub / GitLab | YubiKey + passkey |
| Cloud (AWS root, Azure) | YubiKey obbligatoria |
| Servizio occasionale | TOTP basta |