Doppia autenticazione: non tutti i sistemi sono uguali — e spesso sei tu il problema

Password manager, doppio fattore, OTP, passkey. Tutti li sentono nominare, pochi capiscono davvero come funzionano e quasi nessuno sa che non tutti i sistemi si equivalgono. La cosa che accomuna tutte le violazioni che vediamo ogni giorno? Non è la tecnologia che cede — sei tu.

Ogni volta che affronto il tema della sicurezza degli account online — e lo faccio spesso, perché faccio ricerca nell'area del diritto informatico e mi occupo di come le norme si intreccino con i sistemi digitali — mi rendo conto che le persone tendono ad avere uno dei due atteggiamenti sbagliati. O pensano di essere al sicuro perché hanno attivato la doppia autenticazione, oppure la evitano completamente per paura di restare chiuse fuori dal proprio account. In entrambi i casi, il ragionamento è incompleto.

Partiamo dall'inizio, cioè dalle password. Da anni gli esperti ripetono di non usare la stessa password ovunque, di non metterci il nome del cane o la data di nascita. Eppure dalle analisi dei data breach più grandi — le cosiddette fuoriuscite di dati — emerge sempre la stessa situazione: migliaia di account con password come "password123", "Fido2024" o varianti minimali dello stesso schema. Il problema non è più solo la password debole in sé, però. È che i servizi online ci obbligano a usare maiuscole, numeri e caratteri speciali, e noi finiamo per avere tutti la stessa password leggermente variata — magari aggiungendo un numero progressivo quando ci chiedono di cambiarla. Il risultato è che la sicurezza percepita aumenta, quella reale resta piatta.

Il problema della password unica

La cosa più pericolosa non è avere una password debole su un sito importante. È avere la stessa password su un sito importante e su quel forum di cucina in cui vi siete registrati nel 2017. Se il forum viene violato — e i siti minori vengono violati continuamente, spesso senza che nessuno se ne accorga — i vostri dati finiscono in un database che gira liberamente nei mercati clandestini. A quel punto chiunque può provare quella stessa password su tutti i servizi che usate, in modo automatizzato, migliaia di tentativi al secondo. Questa tecnica si chiama credential stuffing ed è tra le più diffuse.

Per verificare se le vostre credenziali siano già state compromesse esiste un servizio gratuito che consiglio sempre: haveibeenpwned.com — "sono stato violato?" — permette di inserire il proprio indirizzo email e scoprire se è comparso in qualche data breach noto. Non è un sito di terze parti sospette: è gestito da Troy Hunt, uno dei ricercatori di sicurezza più rispettati al mondo, ed è usato anche da organizzazioni governative.

«Potete scegliere la password migliore del mondo, ma la vulnerabilità restate voi. Nel momento in cui qualcuno vi chiama e vi dice di essere la polizia, qualcuno lo farà.»

I gestori di password: la soluzione che nessuno vuole usare

La risposta tecnica al problema della password unica è il gestore di password, e lo so già che molti a questo punto hanno pensato "e se perdo la master password?" o "e se viene violato anche quello?". Le obiezioni sono legittime ma risolvibili.

Un gestore di password funziona come una cassaforte cifrata: all'interno ci sono tutte le vostre password, crittografate con una chiave che solo voi conoscete. L'unica password che dovrete ricordare è quella della cassaforte — e dovrà essere lunga, casuale, non correlata alla vostra vita. Per tutti gli altri account il gestore genera password randomiche di venti caratteri che non dovreste mai conoscere, né ricordare. Questo è il punto chiave: non dovete ricordare le password, dovete solo ricordare di non annotarle altrove.

Tra le opzioni disponibili segnalo Bitwarden, che è open source — ossia il suo codice è pubblicamente verificabile da chiunque voglia controllare che non ci siano backdoor o vulnerabilità nascoste. Il gestore di Google, integrato in Chrome e Android, è anch'esso ragionevolmente sicuro per un uso quotidiano, e può essere ulteriormente protetto attivando la crittografia end-to-end nelle impostazioni avanzate. Per chi non si fida di nessun sistema digitale, l'alternativa è un quaderno fisico tenuto in un posto sicuro — vecchio sistema, ma non sbagliato, a patto di non portarselo dietro ovunque.

La doppia autenticazione: sì, ma non tutta uguale

Arriviamo al punto centrale. La doppia autenticazione — 2FA, o MFA — è il secondo livello di protezione che si aggiunge alla password. L'idea è che per accedere a un account non basti sapere qualcosa (la password), ma serva anche avere qualcosa (il telefono, una chiavetta, un'impronta digitale). In teoria è un'ottima idea. In pratica, esistono almeno cinque implementazioni diverse e la differenza di sicurezza tra la peggiore e la migliore è abissale.

Questa è la mia classifica, dal meno al più sicuro, con le ragioni concrete di ogni posizione:

5°

SMS / chiamata telefonica

Il più diffuso nelle banche italiane, purtroppo anche il più vulnerabile. Il codice transita sulla rete telefonica e può essere intercettato tramite SIM swap — una truffa in forte crescita di cui parliamo nell'articolo dedicato. Quando non avete alternative, usatelo, ma sappiate che non è sicuro.

4°

Notifica push (app)

Più sicuro dell'SMS perché viaggia su canale cifrato, ma vulnerabile al notification bombing: un attaccante che conosce la vostra password può inviare decine di richieste di approvazione consecutive finché, per errore o per stanchezza, non schiacciate "Sì". Alcuni servizi come Apple e Google hanno aggiunto un passaggio aggiuntivo (selezionare un numero tra quelli mostrati) che riduce significativamente questo rischio.

3°

App TOTP (Google Authenticator, Authy, ecc.)

Genera codici OTP (One Time Password) di sei cifre che scadono ogni 30 secondi, funziona anche offline. Il meccanismo si basa su una chiave condivisa e sull'orario Unix (calcolato dall'1 gennaio 1970). Non richiede SIM, non dipende dalla rete telefonica. È quello che dovreste chiedere anche alla vostra banca.

2°

Passkey (impronta digitale / Face ID)

Standard recente supportato da Apple, Google e Microsoft. L'autenticazione avviene tramite un certificato crittografico legato al dispositivo, verificato con biometria locale. Nessun codice da intercettare, nessuna password da dimenticare. È il futuro della sicurezza consumer.

1°

Chiavetta hardware FIDO2 (YubiKey, ecc.)

Una chiavetta USB fisica che si inserisce nel dispositivo per autenticarsi. Zero interazione umana possibile da remoto, nessun codice intercettabile. Usata da giornalisti, attivisti, manager con profili ad alto rischio. Costo intorno ai 50 euro: considera quanto valgono i tuoi account, poi decidi.

Il problema che nessuno vuole ammettere: sei tu

Qualsiasi sia il sistema che scegliete, esiste una vulnerabilità che non potete eliminare del tutto con la tecnologia. Si chiama ingegneria sociale, e consiste nel convincere l'utente — voi — a consegnare il codice di accesso di propria spontanea volontà.

Il meccanismo tipico: ricevete una chiamata da un numero che appare come quello della vostra banca. Una voce autorevole vi spiega che c'è un'operazione sospetta in corso sul vostro conto e che per bloccarla dovete comunicare il codice che vi arriverà per SMS. Voi lo fate, convinti di proteggere i vostri soldi. In quel momento avete appena dato le chiavi di casa a qualcuno. Le truffe di questo tipo in Italia avvengono su base giornaliera, con centinaia di segnalazioni ogni mese. Non riguardano solo le persone anziane o meno digitalizzate — riguardano chiunque, perché la pressione psicologica è costruita professionalmente.

La regola è una sola: nessun ente — banca, polizia, gestore telefonico, piattaforma social — ha mai bisogno che voi gli comunichiate un codice ricevuto per SMS o dall'app. Mai. Se qualcuno ve lo chiede, è una truffa.

Il SIM swap: quando il secondo fattore diventa il punto debole

C'è però un attacco ancora più sofisticato che non richiede di convincervi a dare nulla — e che bypassa completamente l'SMS come sistema di autenticazione. Si chiama SIM swap, e ne ho scritto in un articolo dedicato perché merita uno spazio a parte. In sintesi: un attaccante riesce a far trasferire il vostro numero di telefono su una SIM sotto il suo controllo, diventando di fatto il destinatario di tutti i vostri codici. Il vostro telefono smette di ricevere segnale. Voi non sapete ancora niente. Lui entra nel vostro conto bancario. Leggete l'articolo per capire come funziona e come difendersi.

Il GDPR e chi deve preoccuparsene

Una nota finale che riguarda chiunque gestisca un'attività, anche piccola. Il Regolamento europeo sulla protezione dei dati — il GDPR — non impone semplicemente di "tenere i dati al sicuro". Impone di mettere in atto tutte le misure tecniche e organizzative adeguate al livello di rischio. Se avete un'attività con dipendenti, clienti, fornitori e gestite i loro dati su sistemi digitali — email, cloud, software di fatturazione — la responsabilità di un eventuale data breach ricade su di voi, non sul vostro provider. Non avere attivato la 2FA sugli account aziendali, nel 2025, difficilmente sarà considerato una misura adeguata in caso di violazione con conseguente notifica al Garante.

Il punto di equilibrio tra sicurezza e comodità esiste, ed è diverso per ognuno. Chi gestisce dati di clienti o documenti sensibili ha una soglia di rischio accettabile molto più bassa di chi usa il computer solo per guardare ricette. L'importante è scegliere consapevolmente, non per abitudine o per pigrizia.

Hai la 2FA attiva:sei ancora vulnerabile.