Autenticazione a due fattori (2FA): guida completa per proteggersi

L'autenticazione a due fattori (2FA) è, dopo una password complessa, la misura di sicurezza più importante che puoi attivare sui tuoi account online. Tuttavia, nonostante la sua comprovata efficacia (blocca il 99,9% degli attacchi automatizzati secondo Microsoft), la maggior parte degli utenti continua a non attivarla. In questa guida completa ti spieghiamo cos'è, come funziona, qual è il metodo più adatto al tuo caso e come configurarlo passo dopo passo nei servizi più diffusi.

Cos'è l'autenticazione a due fattori e perché ne hai bisogno

L'autenticazione a due fattori aggiunge un secondo livello di verifica oltre alla password. Il concetto si basa sulla combinazione di due di questi tre fattori di autenticazione:

• Qualcosa che conosci: La tua password, PIN o la risposta a una domanda di sicurezza.
• Qualcosa che hai: Il tuo telefono, una chiave di sicurezza fisica o una smart card.
• Qualcosa che sei: L'impronta digitale, il riconoscimento facciale o il modello dell'iride.

Richiedendo due diversi fattori, un utente malintenzionato che ha ottenuto la tua password (tramite phishing, violazione dei dati o keylogger) non può accedere al tuo account senza avere anche accesso fisico al tuo secondo fattore. Ciò rende praticamente impossibili gli attacchi remoti.

La prima cosa è assicurarti che la tua password di base sia complessa. Usa il nostro generatore di password per creare chiavi complesse, quindi aggiungere 2FA come livello aggiuntivo. Per capire perché le password da sole non sono sufficienti, consulta il nostro articolo su gli errori più comuni con le password.

Confronto dei metodi 2FA

Non tutti i metodi di autenticazione a due fattori offrono lo stesso livello di sicurezza. Ecco un confronto dettagliato per scegliere quello più adatto:

Come funzionano le app di autenticazione (TOTP)

Le applicazioni di autenticazione utilizzano il protocollo TOTP (Time-based One-Time Password). Il processo funziona così: quando attivi la 2FA su un servizio, ti mostra un codice QR che contiene una chiave segreta condivisa. La tua app di autenticazione esegue la scansione di questo codice e memorizza la chiave. Da quel momento in poi l'app genera ogni 30 secondi un nuovo codice di 6 cifre utilizzando un algoritmo che combina la chiave segreta con l'ora corrente.

Quando accedi, inserisci la tua password e poi il codice attuale di 6 cifre. Il server calcola lo stesso codice utilizzando la stessa chiave e la stessa ora e, se corrispondono, ti dà accesso. Questo processo avviene completamente offline sul tuo telefono, senza la necessità di copertura di rete o connessione Internet, rendendolo più sicuro degli SMS.

Se sei interessato a capire di più su come vengono generati questi codici dal punto di vista tecnico, il nostro articolo su numeri casuali e come funzionano approfondisce gli algoritmi di generazione che rendono possibile la casualità nella sicurezza informatica.

Configurazione passo passo sui servizi più diffusi

L'attivazione della 2FA è generalmente un processo rapido che devi eseguire solo una volta per servizio. Ecco i percorsi più comuni:

1. Google: Account Google → Sicurezza → Verifica in due passaggi → Inizio. Google offre molteplici opzioni: app di autenticazione, messaggi push, chiavi di sicurezza e SMS di backup.
2. Microsoft: Impostazioni account → Sicurezza → Verifica in due passaggi. Microsoft dà priorità alla propria app Authenticator con notifiche push.
3. Mela: Impostazioni → il tuo nome → Sessione domestica e sicurezza → Autenticazione a due fattori. Apple utilizza i dispositivi affidabili come secondo fattore.
4. Instagram/Facebook: Configurazione → Centro account → Password e sicurezza → Autenticazione in due passaggi.
5. Twitter/X: Configurazione → Sicurezza e accesso all'account → Sicurezza → Autenticazione in due fasi.
6. Banche e società finanziarie: La maggior parte offre 2FA tramite la propria app. Controlla la sezione sicurezza del tuo online banking.

Cosa fare se perdi il secondo fattore

Questo è lo scenario che ogni utente 2FA teme di più: perdere il telefono su cui si trova la tua app di autenticazione. Ecco perché è fondamentale impostare misure di recupero prima che avvengano:

• Codici di backup: Tutti i servizi che offrono 2FA forniscono anche codici di backup (codici di ripristino). Conservali in un luogo sicuro e offline, ad esempio un pezzo di carta in una cassaforte o in un gestore di password.
• App con sincronizzazione: Authy, ad esempio, ti consente di sincronizzare i tuoi token tra più dispositivi. Se ne perdi uno, hai ancora accesso da un altro.
• Secondo dispositivo: Se disponi di un tablet o telefono secondario, configuralo anche come dispositivo di autenticazione.
• Chiave fisica di backup: Se utilizzi chiavi FIDO2, acquistane due e registrale entrambe. Tienine uno a casa e porta l'altro con te.

La sicurezza digitale non è una destinazione, è un processo continuo. Completa la tua strategia 2FA con tutti i suggerimenti nella nostra sicurezza digitale nel 2026 e mantieni aggiornati i tuoi strumenti. Genera password complesse come base con generatore di password e utilizzare generatore di numeri casuali quando hai bisogno di PIN o codici numerici protetti.