2FA: il salvavita del conto

La 2FA, o autenticazione a due fattori, aggiunge un secondo controllo oltre alla password. Se la password viene rubata in un breach o tramite phishing, il criminale deve superare anche il secondo fattore. Non rende tutto perfetto, ma alza molto il costo dell'attacco.

Per gli account importanti, la 2FA non e un optional: banca, email, Apple ID, Google account, Facebook e WhatsApp devono averla. La posta elettronica e prioritaria perche serve a resettare gli altri account. Se un criminale entra nella tua email, puo cambiare password altrove e nascondere gli avvisi. L'NCSC mostra come anche un servizio apparentemente poco importante puo diventare la porta per attacchi piu gravi quando password e verifiche vengono rubate insieme.

Il codice via SMS e meglio di nessuna 2FA, ma non e il massimo. Il rischio principale e il SIM swap: qualcuno convince o inganna l'operatore telefonico a spostare il tuo numero su un'altra SIM o eSIM. A quel punto i codici arrivano a lui. La Polizia Postale cita il rischio di frodi tramite scambio della scheda telefonica quando il cellulare smette di chiamare o ricevere.

Se il telefono perde improvvisamente rete senza motivo, soprattutto mentre ricevi avvisi di accesso, chiama subito l'operatore da un altro telefono. Per gli account piu importanti preferisci app authenticator o chiave hardware. Se un sito offre solo SMS, usalo comunque: e meglio di niente. Ma non credere che il codice SMS sia una prova assoluta di sicurezza.

Le app authenticator, come Google Authenticator o Microsoft Authenticator, generano codici sul telefono senza dipendere dagli SMS. Sono una buona scelta per email, social, servizi cloud e molte app professionali. Quando cambi telefono, devi trasferire o riconfigurare i codici: fallo con calma prima di cancellare il vecchio dispositivo.

Le chiavi hardware FIDO2, come YubiKey o Solo Key, sono lo standard piu forte per molti account. Si inseriscono nella porta USB o si usano via NFC. Il vantaggio e che resistono meglio al phishing: se il sito e falso, la chiave non conferma l'accesso al dominio sbagliato. Non tutti hanno bisogno di una chiave hardware, ma chi gestisce soldi, email critica o dati dei pazienti dovrebbe valutarla. Tieni sempre una seconda chiave di backup in un posto sicuro.

Quando attivi la 2FA, molti servizi mostrano codici di recupero. Sembrano noiosi, ma sono la tua uscita di emergenza se perdi telefono o chiave. Stampali o scrivili su carta e conservali in un posto protetto: cassetto dei documenti, cassaforte, cartella fisica. Non salvarli solo nello stesso telefono che protegge l'account.

Non dare mai un codice 2FA o un recovery code al telefono. Una banca, un tecnico o un operatore vero non deve chiederti il codice per "annullare una frode". L'FBI avvisa che truffatori che fingono supporto finanziario cercano proprio codici MFA o OTP. Se qualcuno chiede un codice, chiudi la chiamata e richiama il numero ufficiale.