Quando si parla di sicurezza online, l’autenticazione a due fattori viene spesso presentata come una soluzione unica e immediata. In realtà, dietro questa sigla si nascondono approcci diversi, con livelli di protezione molto differenti. Capire come funziona la 2FA è utile per scegliere il metodo più adatto, evitando di affidarsi a strumenti che sembrano sicuri ma che, nella pratica, possono essere aggirati con relativa facilità.
2FA e standard di autenticazione: cosa cambia davvero
La 2FA non è uno standard unico, ma un modello che richiede due fattori indipendenti per confermare l’identità di un utente. Il punto chiave non è solo il numero dei passaggi, ma la reale separazione tra i fattori utilizzati.
In termini pratici, i fattori possono essere di tre tipi: qualcosa che conosci, qualcosa che possiedi e qualcosa che sei. Password e PIN appartengono al primo gruppo, app di autenticazione e chiavi hardware al secondo, mentre impronta digitale e riconoscimento facciale rientrano nel terzo.
Per essere davvero efficace, un sistema deve usare fattori che non dipendano l’uno dall’altro. Se password e codice OTP vivono sullo stesso dispositivo compromesso, la protezione si indebolisce molto. Per questo oggi si parla sempre più spesso di approcci phishing-resistant, come quelli basati su FIDO2 e WebAuthn.
TOTP, SMS e push: tre modi diversi di verificare l’accesso
Le app di autenticazione come Google Authenticator o Proton Authenticator usano spesso TOTP, cioè codici temporanei generati in base al tempo e a un segreto condiviso. È una soluzione solida, ma non immune da phishing in tempo reale, perché il codice può essere intercettato e riutilizzato subito.
Anche SMS ed email OTP sono ancora molto diffusi, ma dipendono da canali esterni che possono essere compromessi, ad esempio con SIM swapping o accessi non autorizzati alla casella di posta. Le notifiche push, invece, migliorano l’esperienza d’uso, ma espongono al rischio di approvazioni involontarie, soprattutto quando gli attacchi insistono con richieste ripetute.
Perché FIDO2 e passkey offrono più protezione
Le soluzioni basate su FIDO2/WebAuthn e passkey rappresentano oggi una delle opzioni più robuste. Non usano codici riutilizzabili né segreti condivisi: al posto di questo, il dispositivo firma una sfida crittografica legata al dominio corretto.
Questo meccanismo riduce in modo netto l’efficacia del phishing tradizionale e rende l’autenticazione più semplice per l’utente. Quando possibile, è la scelta più consigliabile; se non è disponibile, una buona app TOTP resta preferibile a SMS ed email. In ogni caso, la vera sicurezza non dipende solo dall’attivazione della 2FA, ma dal tipo di 2FA scelto e dal modo in cui viene integrata nel servizio.
