ADVERTORIAL

Due fattori: e perché i codici SMS sono l’anello debole

25 giugno 2026 · 3 minuti di lettura · Commenti

Questo articolo contiene link di affiliazione. Se acquisti tramite loro, potremmo guadagnare una commissione, senza costi aggiuntivi per te.

L'autenticazione a due fattori è uno degli aggiornamenti di sicurezza più efficaci che puoi apportare. Ma non tutti i due fattori sono uguali e la versione più comune, quella utilizzata per impostazione predefinita dalla maggior parte dei servizi, presenta una vulnerabilità specifica e ben documentata di cui la maggior parte delle persone non è a conoscenza.

L'autenticazione a due fattori funziona richiedendo qualcosa che conosci (la tua password) e qualcosa che hai (in genere un codice). Anche se qualcuno ruba la tua password, non potrà accedere senza il secondo fattore. È davvero buono. La domanda è cosa significa "qualcosa che hai".

Il problema con i codici SMS

I codici SMS vengono inviati al tuo numero di telefono. Il tuo numero di telefono è controllato dal tuo operatore. E gli operatori possono essere manipolati – a volte attraverso l’ingegneria sociale, a volte attraverso la vera e propria corruzione dei dipendenti – per trasferire il tuo numero su una carta SIM controllata dall’aggressore. Questo si chiama scambio SIM.

Una volta trasferito il tuo numero, ogni codice SMS inviato al "tuo" telefono arriva al dispositivo dell'aggressore. La tua password più eventuali due fattori basati su SMS ora appartengono a loro. Obiettivi di alto valore - persone con una quantità significativa di criptovaluta, dirigenti, giornalisti - vengono regolarmente compromessi in questo modo.

Metodi a due fattori: forza relativa
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
App di autenticazione (TOTP)
Good
Phishing in tempo reale (se l'aggressore agisce velocemente)
Chiave hardware (passkey)
Strong
Furto fisico della chiave

Cosa usare invece

Un'app di autenticazione genera codici basati sul tempo sul tuo dispositivo. Non vengono trasmessi sulla rete telefonica: nessuno scambio SIM può intercettarli. App come Google Authenticator o Authy funzionano in questo modo. NordPass include anche un autenticatore integrato, il che significa che i tuoi codici 2FA e le tue password risiedono nello stesso deposito sicuro.

Vale la pena avere due fattori anche nella sua forma più debole. SMS 2FA è di gran lunga migliore di nessun 2FA. Ma se intendi utilizzarlo, sono necessari circa due minuti per account per eseguire l'aggiornamento da SMS a un'app di autenticazione e il divario nella protezione è significativo.

Domande frequenti

What is credential stuffing?+

Il credential stuffing avviene quando gli aggressori prendono combinazioni di email e password esposte in una violazione e le provano automaticamente contro altri servizi. Se riutilizzi le password, una violazione in un sito consente agli aggressori di accedere a tutti gli account con le stesse credenziali.

Is it safe to store all your passwords in one place?+

Sì, quando si utilizza un gestore di password affidabile. Il deposito crittografato è molto più sicuro delle password riutilizzate o deboli. I gestori di password come NordPass utilizzano un'architettura a conoscenza zero, il che significa che nemmeno l'azienda può vedere le password memorizzate.

What is two-factor authentication and should I use it?+

L'autenticazione a due fattori (2FA) richiede un secondo passaggio di verifica oltre alla password, in genere un codice da un'app. Utilizza un'app di autenticazione (Google Authenticator, Authy) anziché i codici SMS, che sono vulnerabili agli attacchi di scambio SIM.

Password e codici 2FA in un unico deposito sicuro
NordPass memorizza le tue password e genera i tuoi codici di autenticazione. Un'app, una password principale, tutto sincronizzato sui tuoi dispositivi.
⭐ 4.5/5 · milioni di password protette
Try NordPass →

Sam Feldman
Sam Feldman
"Un buon banner non ha una forma fissa e non ha un significato intrinseco."
Austin, TX · https://sams.blog/weekly
RELATED READING
La catastrofe delle password a cui nessuno pensa
Riutilizza una password. Gli hacker ci contano.
Gestori di password, spiegati per le persone normali
Stai per ottenere l'esatta configurazione di sicurezza che ho creato per i miei genitori: quella che funziona davvero

La maggior parte delle persone ha un livello di protezione. Ne mancano tre.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 minuti, dall'inizio alla fine, poi viene eseguito in background. Inserisci la tua email e te la invierò.

Qualcosa è andato storto: riprova.
Ci sei: controlla la tua casella di posta a breve.
100% confidenziale. Annulla l'iscrizione in qualsiasi momento.