Torna al blog
4 min di lettura

Perché il 2FA via SMS non basta più

I codici SMS possono essere rubati. Scopri metodi di autenticazione a due fattori migliori che proteggono davvero i tuoi account.

Perché il 2FA via SMS non basta più

Hai attivato l’autenticazione a due fattori. Ottimo! Ma se usi i codici SMS, non sei così al sicuro come pensi.

Codici SMS: Il problema

Quando accedi da qualche parte e ricevi un codice via SMS, quel codice viaggia attraverso la rete del tuo operatore. E quella rete può essere ingannata.

SIM swapping: in pratica, è quando un attaccante convince la tua compagnia telefonica a spostare il tuo numero sul suo telefono. Chiama il servizio clienti, fingendo di essere te, e dice di aver perso il telefono. Una volta che il tuo numero è sulla sua SIM, riceve tutti i tuoi messaggi — inclusi quei codici di sicurezza.

Questa non è roba da film di hacker lontana dalla realtà. La frode SIM swap è cresciuta enormemente e continua a salire. Con la nuova tecnologia eSIM, gli attaccanti possono ora rubare il tuo numero in meno di cinque minuti.

Come succede

  1. Ti ricercano — Il tuo nome, data di nascita, indirizzo dai social media o data breach
  2. Chiamano il tuo operatore — Fingendo di essere te, dicendo di aver perso il telefono
  3. Il tuo telefono muore — Il tuo numero passa al loro dispositivo
  4. Resettano le tue password — Usando i codici SMS che ora arrivano a loro

Alcuni attaccanti non hanno nemmeno bisogno di chiamare: Sfruttano vecchi protocolli telecom chiamati SS7 per reindirizzare i tuoi messaggi direttamente.

Aiuta qualche 2FA?

Sì! Microsoft ha scoperto che gli account con qualsiasi forma di MFA hanno il 99,9% in meno di probabilità di essere hackerati. Il problema è che l’SMS è la forma più debole di MFA. È meglio di niente, ma ci sono opzioni molto più forti.

Opzioni migliori

App di autenticazione (Buono)

Invece di ricevere codici via SMS, un’app genera i codici direttamente sul tuo telefono. I codici non viaggiano mai su nessuna rete — vengono generati direttamente sul tuo dispositivo.

Perché un’app separata? La maggior parte dei password manager offre anche codici 2FA. Comodo. Ma se qualcuno entra nel tuo password manager, ottiene sia le password che i codici 2FA. Game over. Tenerli separati significa che un attaccante deve compromettere due app per entrare. Non mettere tutte le uova nello stesso paniere.

Applicazioni raccomandate:

  • Aegis — Gratuito, open source, solo Android. Alto livello di personalizzazione, backup crittografati.
  • Ente Auth — Gratuito, open source, funziona ovunque incluso desktop e web.

Chiavi di sicurezza hardware (Meglio)

Un piccolo dispositivo USB che colleghi quando accedi. Nessun codice da digitare — basta toccare la chiave.

Le opzioni popolari includono YubiKey e Google Titan Key. Funzionano con la maggior parte dei servizi principali: Google, Microsoft, GitHub e molti altri.

La chiave usa la crittografia per verificare se sei sul sito web reale. Se hai cliccato su un link di phishing, non funzionerà sui siti falsi.

Passkey (Il migliore)

L’opzione più recente. Il tuo telefono o computer genera una chiave crittografica unica per ogni sito. Niente da ricordare, niente da digitare.

Le passkey sono implementate in iOS, Android, Windows e macOS. Sempre più siti web le supportano — Google, Apple, Microsoft, PayPal e altri.

Come le chiavi hardware, verifica automaticamente se un sito web è reale. Rende il phishing quasi impossibile.

Come blindare i tuoi account

  • Chiama il tuo operatore e richiedi un blocco del porting o della SIM
  • Configura un’app di autenticazione (Aegis o Ente Auth)
  • Sposta tutti i tuoi account che dipendono dagli SMS sull’app, iniziando da email e banca
  • Conserva i tuoi codici di backup in un posto sicuro, ma non sul telefono
  • Procurati una chiave di sicurezza hardware per i tuoi account più importanti
  • Attiva le passkey ovunque siano offerte

Backup?

C’è una paura associata alle app di autenticazione: e se perdi il telefono?

  • Aegis permette di esportare backup crittografati
  • Ente Auth sincronizza tra dispositivi
  • La maggior parte dei servizi fornisce codici di backup al momento della configurazione 2FA — conservali in un posto sicuro

Chiavi hardware? Comprane due, tienine una come backup.

Conclusione

Un decennio fa, i codici SMS andavano bene. Oggi sono un punto debole che gli attaccanti sanno sfruttare.

Passare a un’app di autenticazione richiede forse 30 minuti e ti rende drasticamente più sicuro. Le chiavi hardware e le passkey vanno ancora oltre.

Tag: security privacy passwords 2fa
Signal vs Session: Quale …
×