Login sicuro: 2FA, Security Keys e Passkeys a confronto
Tutti i metodi di protezione del login messi a confronto. Scopri come funzionano le app di autenticazione, le chiavi hardware e le passkeys, e quale scegliere.
Torna al blog
Diciamocelo. La tua password probabilmente fa pena.
Magari è il nome del tuo cane seguito dall’anno di nascita. Magari stai riciclando la stessa dal 2014. Magari hai un “sistema” dove aggiungi un numero alla fine. Password1, Password2, Password3… geniale, no?
Ma anche una buona password ormai non basta più. Il Credential stuffing prende le password rubate da un data breach e le prova ovunque. Il Phishing ti inganna facendoti digitare la password su una pagina finta. I data breach continuano a esporre miliardi di account - puoi controllare subito se i tuoi dati sono stati compromessi.
Una password da sola è un muro pieno di crepe. Ti serve un secondo livello di protezione. Quindi confrontiamo tutte le opzioni e vediamo quali vale davvero la pena usare.
Codici via SMS ed Email
Fai il login, il telefono vibra, digiti un codice a sei cifre. È la forma di 2FA più diffusa, ma anche la più debole.
I codici SMS passano attraverso la rete del tuo operatore, che può essere compromessa tramite SIM swapping o exploit SS7. I codici via email non vanno molto meglio - se qualcuno ha accesso alla tua casella di posta, quei codici sono suoi.
Abbiamo scritto un approfondimento completo sul perché la 2FA via SMS non è sufficiente se vuoi saperne di più.
Verdetto: Meglio di niente, ma solo come ultima spiaggia. Passa a qualcosa di meglio appena possibile.
App di autenticazione (TOTP)
Qui le cose si fanno interessanti. Invece di ricevere un codice via messaggio, un’app lo genera direttamente sul tuo dispositivo. Nessuna rete coinvolta.
Quando lo configuri, l’app e il servizio si scambiano un segreto condiviso. Immaginala come una stretta di mano segreta che cambia ogni 30 secondi. L’app genera un codice basato su quel segreto e sull’ora corrente, il server fa lo stesso calcolo, e se coincidono sei dentro. Questo è il TOTP (Time-based One-Time Password).
Il bello: Funziona offline, è gratis, supportato praticamente ovunque, e il tuo operatore non può essere raggirato per consegnare i tuoi codici.
Il problema: Resta vulnerabile al phishing se un attaccante inoltra il tuo codice al sito reale in tempo reale. E se perdi il telefono senza un backup, resti chiuso fuori.
Consiglio importante: Tieni l’app 2FA separata dal password manager. Se qualcuno compromette il tuo password manager e dentro ci sono anche i codici TOTP, ottiene tutto in un colpo solo. Due app separate significano che dovrebbe violare entrambe.
Scegli un’app open-source, che supporti backup crittografati e che non richieda un account cloud.
2FA con notifiche Push
Invece di digitare un codice, ricevi una notifica: “Qualcuno sta cercando di accedere. Sei stato tu?” Tocca per approvare. Fatto.
Il servizio invia una richiesta al tuo dispositivo registrato, tu confermi con un tocco (a volte con la biometria) e una risposta firmata torna indietro. Niente codici da digitare, niente numeri da leggere male.
Il bello: Semplicissimo, più difficile da attaccare con il phishing rispetto al TOTP perché non c’è nessun codice da intercettare.
Il problema: Serve internet su entrambi i dispositivi. Sei legato al sistema del singolo fornitore. E c’è un trucco subdolo chiamato MFA fatigue - un attaccante che ha la tua password ti bombarda di notifiche push alle 3 di notte finché, mezzo addormentato, tocchi “Approva” pur di farle smettere.
Se ricevi notifiche push che non hai richiesto, rifiutale sempre e cambia subito la password.
Hardware Security Keys
Un piccolo dispositivo fisico USB o NFC che colleghi o avvicini quando fai il login. Se le app di autenticazione sono un buon catenaccio, queste sono la porta di un caveau.
La chiave genera una coppia di chiavi unica: una chiave privata (bloccata nel dispositivo per sempre) e una chiave pubblica (condivisa con il servizio). Quando fai il login, il servizio invia una richiesta, la chiave la firma, e il servizio la verifica. Semplice.
La funzione vincente è l’origin binding. La chiave controlla il dominio reale del sito prima di firmare qualsiasi cosa. Su google.com? Risponde. Su g00gle-login.com? Rifiuta. Automaticamente. La pagina di phishing più convincente del mondo non funzionerà perché la chiave semplicemente non collabora con un sito falso.
Il bello: La protezione anti-phishing più forte disponibile. La chiave privata non può mai essere estratta. Funziona offline. Niente da digitare. Nessuna batteria che si scarica.
Il problema: Costa, devi portarla sempre con te, e perdere l’unica chiave senza codici di backup è un incubo.
Consiglio pratico: Compra sempre due chiavi. Registrale entrambe ovunque. Una sul portachiavi, una al sicuro a casa. Cerca la certificazione FIDO2 e il supporto USB-C/NFC.
Preoccupato che qualcuno ti rubi la chiave? Tranquillo. Avrebbe comunque bisogno della tua password, e la maggior parte delle chiavi supporta anche la protezione con PIN.
Passkeys
Stessa crittografia delle hardware keys, ma la chiave vive nel tuo telefono, laptop o password manager invece che in un dispositivo separato. Questa è la soluzione che finalmente rende la sicurezza forte anche semplice da usare.
Il tuo dispositivo genera una coppia di chiavi, conserva la chiave privata nel secure enclave, e quando fai il login ti autentichi con la biometria (impronta digitale, volto) o un PIN. Nessuna password da ricordare, nessun codice da digitare, nessun dispositivo da collegare. E proprio come le hardware keys, controlla il dominio automaticamente - phishing bloccato.
Il bello: Resistente al phishing, niente da ricordare, integrato in tutti i principali sistemi operativi e browser, si sincronizza tra i dispositivi, sostituisce password E 2FA in un colpo solo.
Il problema: Non tutti i siti le supportano ancora. La sincronizzazione cross-platform può creare confusione se cambi ecosistema. E se sincronizzi tramite un account cloud, ti stai fidando di quel provider.
Esistono due varianti: le synced passkeys vengono salvate nel cloud e appaiono su tutti i tuoi dispositivi (comode, ma devi fidarti del cloud), e le device-bound passkeys restano solo su un dispositivo (più sicure, ma se lo perdi sono sparite). Le hardware security keys sono essenzialmente delle device-bound passkeys in forma fisica.
Per la maggior parte delle persone, le synced passkeys in un password manager affidabile sono il miglior compromesso.
Il confronto
| Caratteristica | SMS/Email | App di autenticazione | Push | Hardware Keys | Passkeys |
|---|---|---|---|---|---|
| Protezione dal phishing | Nessuna | Nessuna (relay in tempo reale) | Parziale | Forte | Forte |
| Funziona offline | No | Sì | No | Sì | Sì |
| Facilità di configurazione | Molto facile | Facile | Facile | Media | Facile |
| Facilità d’uso quotidiano | Facile | Facile | Molto facile | Facile (collega+tocca) | Molto facile (biometria) |
| Recupero in caso di perdita | Facile | Difficile senza backup | Media | Serve chiave di backup | Dipende dalla sincronizzazione |
| Costo | Gratis | Gratis | Gratis | Acquisto una tantum | Gratis |
| Supporto dei siti web | Universale | Molto ampio | Limitato | In crescita | In rapida crescita |
Nota come le passkeys trovano il miglior equilibrio: sicurezza forte con un utilizzo quotidiano semplicissimo. È per questo che tutta l’industria si sta muovendo in quella direzione.
Quale metodo usare e dove
Account critici (email, password manager, banca): hardware keys o passkeys. L’ideale è entrambi - passkey per l’uso quotidiano, hardware key come backup.
Account importanti (social media, cloud storage, lavoro): passkeys se supportate, altrimenti TOTP con un’app di autenticazione. Salva sempre i codici di backup.
Tutto il resto (forum, newsletter): app di autenticazione se disponibile, SMS solo se non c’è altro. Qualsiasi secondo fattore è meglio della sola password.
Regole generali: Usa le passkeys come prima scelta ogni volta che sono disponibili. Configura sempre un metodo di backup. Abbandona gli SMS partendo dai tuoi account più importanti.
In conclusione
Ecco il tuo piano d’azione:
- Controlla la tua 2FA attuale. Parti da email e conto bancario.
- Sostituisci gli SMS con un’app di autenticazione ovunque possibile.
- Attiva le passkeys su ogni servizio che le supporta.
- Valuta le hardware keys per i tuoi account più critici. Due chiavi, entrambe registrate.
Se ti affidi ancora ai codici SMS, è il momento di cambiare.
Parti dai tuoi account più importanti, aggiornali uno alla volta, e avrai una protezione davvero difficile da violare. Il te stesso del futuro ti ringrazierà.