Fondamenti dell'autenticazione a due fattori (2FA)
Come funziona il 2FA, perché le password da sole non bastano, e guida pratica per scegliere il metodo giusto: SMS, TOTP, FIDO2/WebAuthn e chiavi hardware.
Lettura fondamentale
Perché le password da sole non bastano
Anche una password perfetta può essere catturata dal phishing o da fughe server. Il 2FA aggiunge un livello che richiede possesso fisico.
Con il 2FA abilitato, un attaccante con la tua password ha ancora bisogno del secondo fattore.
I tre fattori: conoscenza (password), possesso (telefono, chiave), inerenza (biometria).
Approfondimenti correlati
SMS 2FA: meglio di niente, ma limitato
SMS invia un codice monouso via messaggio. È il più comune ma il meno sicuro (SIM swapping, intercettazione SS7).
NIST classifica SMS come autenticatore "limitato".
Se SMS è l'unica opzione, usalo. Ma migra a TOTP o chiavi hardware prima possibile.
TOTP: password monouso basate sul tempo
TOTP genera codici a 6 cifre che ruotano ogni 30 secondi. App: Google Authenticator, Authy, Microsoft Authenticator, 1Password.
Vantaggio: funziona offline, nessuna dipendenza dalla rete cellulare, non vulnerabile a SIM swapping.
Salva i codici di recupero in modo sicuro. Senza backup, perdere il dispositivo = perdere l'accesso.
FIDO2/WebAuthn: lo standard d'oro
FIDO2/WebAuthn usa crittografia a chiave pubblica. Il server conserva solo la chiave pubblica. Immune al phishing per design.
Chiavi hardware come YubiKey e Google Titan offrono la massima sicurezza.
FIDO2 fornisce resistenza al phishing, prova di presenza utente e verifica dell'origine crittografica.
Scegliere il metodo giusto
Alta sicurezza (email, banca, crypto): chiavi FIDO2 + TOTP come backup.
Aziendale: FIDO2 con politiche MDM.
Account personali: TOTP come minimo. Qualsiasi 2FA è meglio di nessuno.
Errori comuni del 2FA
Usare lo stesso telefono per SMS 2FA e recupero account.
Non generare codici di recupero.
Fare screenshot dei QR TOTP.
Approvare notifiche push inaspettate (MFA fatigue / push bombing).
- Non usare lo stesso telefono per SMS e recupero
- Sempre generare e salvare codici di recupero
- Mai fare screenshot dei QR TOTP
- Mai approvare push MFA inaspettati
- Registrare almeno due chiavi hardware
- Preferire TOTP o chiavi hardware a SMS
- Testare i metodi di recupero in anticipo
Prossimi passi
Cosa fare con una password sicura?
Una password forte è solo il primo passo. Per proteggere davvero i tuoi account, hai bisogno di un gestore di password affidabile che archivia, compila automaticamente e sincronizza le tue credenziali su tutti i dispositivi.
Abbiamo confrontato i gestori di password più popolari del 2026 per aiutarti a fare la scelta giusta.
NordPass si distingue per la crittografia XChaCha20 a conoscenza zero, il supporto nativo delle passkey e l'interfaccia più intuitiva tra i gestori premium.
| Funzionalità | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| Prezzo/mese | $1.49/mo | $2.99/mo | $0 |
| Dispositivi | Illimitato | Illimitato | Illimitato |
| Passkeys | Sì | Sì | No |
| Scanner violazioni | Sì | Sì | No |
| 2FA integrato | Sì | Sì | Sì |
| Condivisione sicura | Sì | Sì | Limitato |
| Compilazione auto | Sì | Sì | Sì |
Questo è un link di affiliazione. Se effettui un acquisto, potrei ricevere una commissione — questo aiuta a mantenere il sito gratuito.