{"id":163720,"date":"2020-12-15T09:15:00","date_gmt":"2020-12-15T08:15:00","guid":{"rendered":"https:\/\/gtechgroup.it\/blog\/autenticazione-a-due-fattori-come-proteggere-i-tuoi-account\/"},"modified":"2020-12-15T09:15:00","modified_gmt":"2020-12-15T08:15:00","slug":"autenticazione-a-due-fattori-come-proteggere-i-tuoi-account","status":"publish","type":"post","link":"https:\/\/nuovosito.gtechgroup.it\/blog\/autenticazione-a-due-fattori-come-proteggere-i-tuoi-account\/","title":{"rendered":"Autenticazione a Due Fattori: Come Proteggere i Tuoi Account"},"content":{"rendered":"<p style=\"text-align: justify;\">Nel 2020, con il boom dello smart working e l&#8217;aumento esponenziale delle attivit\u00e0 online, la sicurezza degli account digitali \u00e8 diventata una priorit\u00e0 assoluta. Una password, per quanto complessa, non \u00e8 pi\u00f9 sufficiente a garantire la protezione dei tuoi dati. L&#8217;<strong>autenticazione a due fattori<\/strong> (2FA) aggiunge un livello di sicurezza fondamentale che pu\u00f2 fare la differenza tra un account protetto e uno compromesso. Vediamo cos&#8217;\u00e8, come funziona e come attivarla sui servizi pi\u00f9 utilizzati.<\/p>\n<h2>Cos&#8217;\u00e8 l&#8217;Autenticazione a Due Fattori<\/h2>\n<p style=\"text-align: justify;\">L&#8217;autenticazione a due fattori \u00e8 un metodo di sicurezza che richiede <strong>due prove di identit\u00e0 distinte<\/strong> per accedere a un account. Invece di affidarsi solo alla password (qualcosa che sai), il sistema chiede anche un secondo fattore appartenente a una categoria diversa:<\/p>\n<ul>\n<li><strong>Qualcosa che sai<\/strong>: la password o un PIN<\/li>\n<li><strong>Qualcosa che hai<\/strong>: il tuo smartphone, una chiave hardware, una smart card<\/li>\n<li><strong>Qualcosa che sei<\/strong>: impronta digitale, riconoscimento facciale, scansione dell&#8217;iride<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">La combinazione di due fattori di categorie diverse rende enormemente pi\u00f9 difficile per un attaccante accedere al tuo account. Anche se la password viene rubata tramite phishing o un data breach, senza il secondo fattore l&#8217;accesso rimane bloccato.<\/p>\n<p style=\"text-align: justify;\">Naturalmente, la 2FA funziona al meglio quando viene combinata con password robuste. Se vuoi approfondire come creare password davvero sicure, leggi il nostro articolo su <a href=\"https:\/\/gtechgroup.it\/blog\/come-creare-una-password-sicura\/\">come creare una password sicura<\/a>.<\/p>\n<h2>I Metodi di Autenticazione a Due Fattori<\/h2>\n<h3>SMS e Chiamata Vocale<\/h3>\n<p style=\"text-align: justify;\">Il metodo pi\u00f9 diffuso prevede l&#8217;invio di un <strong>codice temporaneo via SMS<\/strong> al numero di telefono associato all&#8217;account. Dopo aver inserito la password, il sistema invia un codice numerico (tipicamente di 6 cifre) che deve essere digitato entro pochi minuti. Esiste anche la variante con chiamata vocale, dove il codice viene dettato da un sistema automatico.<\/p>\n<p style=\"text-align: justify;\">Sebbene sia meglio di nessuna protezione aggiuntiva, l&#8217;SMS \u00e8 considerato il metodo <strong>meno sicuro<\/strong> di 2FA. Gli attacchi di SIM swapping (dove un criminale convince l&#8217;operatore telefonico a trasferire il tuo numero su una nuova SIM) e l&#8217;intercettazione degli SMS sono rischi concreti, anche se relativamente rari.<\/p>\n<h3>App di Autenticazione (TOTP)<\/h3>\n<p style=\"text-align: justify;\">Le <strong>app di autenticazione<\/strong> generano codici temporanei direttamente sul tuo dispositivo, senza bisogno di connessione internet o segnale telefonico. Il meccanismo si basa sul protocollo TOTP (Time-based One-Time Password): app e server condividono un segreto iniziale, e l&#8217;app genera un nuovo codice ogni 30 secondi basandosi su quel segreto e sull&#8217;ora corrente.<\/p>\n<p style=\"text-align: justify;\">Le app pi\u00f9 utilizzate sono:<\/p>\n<ul>\n<li><strong>Google Authenticator<\/strong>: semplice e funzionale, disponibile per Android e iOS<\/li>\n<li><strong>Microsoft Authenticator<\/strong>: include il backup cloud e la possibilit\u00e0 di approvare gli accessi con un tap<\/li>\n<li><strong>Authy<\/strong>: supporta il backup crittografato e la sincronizzazione su pi\u00f9 dispositivi<\/li>\n<li><strong>FreeOTP<\/strong>: open source, sviluppato da Red Hat<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Le app TOTP sono considerate significativamente pi\u00f9 sicure degli SMS, perch\u00e9 il codice non transita sulla rete telefonica e non pu\u00f2 essere intercettato.<\/p>\n<h3>Chiavi di Sicurezza Hardware<\/h3>\n<p style=\"text-align: justify;\">Le <strong>chiavi hardware<\/strong> (come YubiKey o Google Titan) sono dispositivi fisici che si collegano al computer via USB o al telefono via NFC per verificare l&#8217;identit\u00e0. Utilizzano i protocolli FIDO U2F o FIDO2\/WebAuthn, considerati i pi\u00f9 sicuri in assoluto contro il phishing, perch\u00e9 la chiave verifica automaticamente che il sito sia quello autentico.<\/p>\n<p style=\"text-align: justify;\">Il costo di una chiave hardware parte da circa 25-30 euro e rappresenta un investimento minimo rispetto alla protezione offerta. Sono particolarmente consigliate per account ad alto rischio: email principale, home banking, account di amministrazione dei siti web.<\/p>\n<h2>Come Attivare la 2FA sui Servizi Pi\u00f9 Comuni<\/h2>\n<h3>Google (Gmail, Drive, YouTube)<\/h3>\n<p style=\"text-align: justify;\">Accedi al tuo account Google, vai su <strong>Sicurezza<\/strong>, seleziona <strong>Verifica in due passaggi<\/strong> e segui la procedura guidata. Google supporta tutti i metodi: SMS, app di autenticazione, prompt sullo smartphone e chiavi hardware. \u00c8 consigliato configurare almeno due metodi di backup per evitare di restare bloccati.<\/p>\n<h3>Facebook e Instagram<\/h3>\n<p style=\"text-align: justify;\">Su Facebook, vai in <strong>Impostazioni \u2192 Protezione e accesso \u2192 Autenticazione a due fattori<\/strong>. Puoi scegliere tra app di autenticazione, SMS o chiave hardware. Instagram offre le stesse opzioni in <strong>Impostazioni \u2192 Sicurezza \u2192 Autenticazione a due fattori<\/strong>.<\/p>\n<h3>WordPress<\/h3>\n<p style=\"text-align: justify;\">Per WordPress esistono diversi plugin che aggiungono la 2FA alla pagina di login. Tra i pi\u00f9 affidabili ci sono <strong>WP 2FA<\/strong>, <strong>Two Factor Authentication<\/strong> e <strong>Wordfence<\/strong> (che include la 2FA nella sua suite di sicurezza). Proteggere l&#8217;accesso all&#8217;area admin di WordPress \u00e8 fondamentale per la sicurezza del sito.<\/p>\n<h3>Home Banking<\/h3>\n<p style=\"text-align: justify;\">La maggior parte delle banche italiane ha gi\u00e0 implementato la <strong>Strong Customer Authentication (SCA)<\/strong> come richiesto dalla direttiva PSD2. Tuttavia, vale la pena verificare che il metodo utilizzato sia adeguato e, dove possibile, preferire l&#8217;app della banca rispetto agli SMS.<\/p>\n<h2>I Codici di Recupero: Non Dimenticarli<\/h2>\n<p style=\"text-align: justify;\">Quando attivi la 2FA, la maggior parte dei servizi ti fornisce dei <strong>codici di recupero<\/strong> monouso. Questi codici servono per accedere al tuo account nel caso in cui perdi il telefono, la chiave hardware si rompe o l&#8217;app di autenticazione non \u00e8 disponibile. \u00c8 fondamentale:<\/p>\n<ol>\n<li><strong>Salvare i codici di recupero<\/strong> in un luogo sicuro e separato dal dispositivo principale<\/li>\n<li><strong>Non fotografarli<\/strong> con lo smartphone (se perdi il telefono, perdi anche la foto)<\/li>\n<li><strong>Stampare una copia<\/strong> e conservarla in un luogo fisico sicuro<\/li>\n<li><strong>Usare un password manager<\/strong> per archiviarli in modo crittografato<\/li>\n<\/ol>\n<h2>Obiezioni Comuni (e Perch\u00e9 Superarle)<\/h2>\n<p style=\"text-align: justify;\">Molte persone resistono all&#8217;idea di attivare la 2FA. Ecco le obiezioni pi\u00f9 frequenti e le relative risposte:<\/p>\n<ul>\n<li><strong>&#8220;\u00c8 troppo scomoda&#8221;<\/strong>: il processo aggiunge pochi secondi all&#8217;accesso. La maggior parte dei servizi permette di considerare attendibili i dispositivi abituali, riducendo la frequenza delle richieste<\/li>\n<li><strong>&#8220;La mia password \u00e8 gi\u00e0 forte&#8221;<\/strong>: una password forte protegge da attacchi di forza bruta, ma non dal phishing o dai data breach. La 2FA protegge anche in questi scenari<\/li>\n<li><strong>&#8220;Non ho nulla da nascondere&#8221;<\/strong>: un account compromesso non espone solo i tuoi dati, ma pu\u00f2 essere usato per attaccare i tuoi contatti, inviare spam o commettere frodi a tuo nome<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Per una panoramica pi\u00f9 ampia sulle minacce informatiche e su come proteggersi, ti consigliamo il nostro articolo sulla <a href=\"https:\/\/gtechgroup.it\/blog\/cybersecurity-per-le-pmi-le-minacce-del-2020-e-come-difendersi\/\">cybersecurity per le PMI e le minacce del 2020<\/a>.<\/p>\n<h2>Metti al Sicuro i Tuoi Account Oggi<\/h2>\n<p style=\"text-align: justify;\">Attivare l&#8217;autenticazione a due fattori \u00e8 una delle azioni pi\u00f9 semplici e al tempo stesso pi\u00f9 efficaci che puoi compiere per la tua <strong>sicurezza digitale<\/strong>. Inizia dall&#8217;account email principale \u2014 \u00e8 la chiave di accesso a tutti gli altri servizi \u2014 e poi estendi la protezione a social media, cloud storage, home banking e ogni altro account che contenga dati sensibili.<\/p>\n<p style=\"text-align: justify;\">Se hai bisogno di aiuto per configurare la 2FA sui tuoi account aziendali o per implementare una strategia di sicurezza completa per la tua impresa, contattaci a <strong>support@gtechgroup.it<\/strong> oppure su <strong>WhatsApp al 0465 84 62 45<\/strong>: ti guideremo nella protezione dei tuoi account e dei tuoi dati aziendali.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nel 2020, con il boom dello smart working e l&#8217;aumento esponenziale delle attivit\u00e0 online, la sicurezza degli account digitali \u00e8 diventata una priorit\u00e0 assoluta. Una&hellip;<\/p>\n","protected":false},"author":2,"featured_media":163719,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[164],"tags":[1327,1797,549,1290,911,868,492],"class_list":["post-163720","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza","tag-backup","tag-cloud","tag-facebook","tag-instagram","tag-sicurezza","tag-sicurezza-dati","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/163720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/comments?post=163720"}],"version-history":[{"count":0,"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/163720\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/media\/163719"}],"wp:attachment":[{"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/media?parent=163720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/categories?post=163720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nuovosito.gtechgroup.it\/blog\/wp-json\/wp\/v2\/tags?post=163720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}