- Published on
Autenticazione a due fattori: perché non è infallibile e come proteggerci meglio
- Authors
- Name
- Alessandro Iannacone
Autenticazione a due fattori: perché non è infallibile e come proteggerci meglio
Negli ultimi anni, l’autenticazione a due fattori (2FA) si è affermata come uno degli strumenti più diffusi per proteggere gli account online. Ma non è infallibile. Recenti ricerche, tra cui un'analisi di Palo Alto Networks, mostrano come anche la 2FA possa essere aggirata con tecniche avanzate come il phishing in tempo reale.
Come funziona la 2FA… e dove può fallire
La 2FA combina due elementi per autenticare un utente:
- Qualcosa che conosci (la password)
- Qualcosa che possiedi (es. un codice temporaneo o un token fisico)
Tuttavia, se il secondo fattore è debole o trasmesso su canali vulnerabili, come gli SMS, può essere intercettato da attaccanti.
Esempio di attacco: phishing con intercettazione in tempo reale
Gli hacker non hanno bisogno di forzare i sistemi. Possono sfruttare l'utente stesso. Un attacco tipico segue questi passaggi:
- L’utente riceve un’email con un link a un sito che sembra autentico.
- Inserisce le proprie credenziali sulla pagina di phishing.
- L’attaccante, in tempo reale, le usa per accedere al vero sito.
- Il server invia una richiesta 2FA (es. codice SMS).
- L’utente immette il codice sul sito falso → l’hacker lo riceve → accede.
Questo attacco è noto come man-in-the-middle 2FA bypass.
Il miglior antivirus siamo noi
Questi attacchi non sfruttano vulnerabilità tecniche, ma debolezze umane: distrazione, fretta, mancanza di consapevolezza. La difesa più efficace è la conoscenza. Anche il miglior sistema di sicurezza fallisce se l’utente è ingannato.
Come rendere più sicura l’autenticazione
✅ Usa app TOTP (Time-based One-Time Password)
Evita l’autenticazione via SMS. Le app come Authy, Google Authenticator, o Microsoft Authenticator sono molto più sicure.
✅ Preferisci token fisici (es. YubiKey)
I dispositivi di sicurezza fisici sono difficilmente intercettabili e offrono un alto livello di protezione.
✅ Attiva notifiche e riconoscimento dei dispositivi
Molti servizi inviano avvisi se qualcuno tenta l’accesso da un dispositivo non riconosciuto. Non ignorare mai questi avvisi.
✅ Aggiungi sistemi di log avanzati
Tracciare e archiviare gli accessi (IP, orari, device) permette di individuare attività sospette prima che diventino dannose.
✅ Configura sistemi di alert proattivi
È utile ricevere alert in tempo reale via email, Telegram o altri canali se si verificano accessi fuori orario o da IP non previsti.
✅ Limita l’accesso per IP
Quando possibile, consenti l’accesso solo da IP noti o da range autorizzati. Questa tecnica è particolarmente efficace su:
- Pannelli amministrativi
- Sistemi di gestione remota (es. SSH, RDP)
- Portali aziendali riservati
Esempio su firewall o reverse proxy:
allow 192.168.1.0/24;
deny all;