Due fattori: e perché i codici SMS sono l’anello debole
25 giugno 2026 · 3 minuti di lettura · Commenti
Questo articolo contiene link di affiliazione. Se acquisti tramite loro, potremmo guadagnare una commissione, senza costi aggiuntivi per te.
L'autenticazione a due fattori è uno degli aggiornamenti di sicurezza più efficaci che puoi apportare. Ma non tutti i due fattori sono uguali e la versione più comune, quella utilizzata per impostazione predefinita dalla maggior parte dei servizi, presenta una vulnerabilità specifica e ben documentata di cui la maggior parte delle persone non è a conoscenza.
L'autenticazione a due fattori funziona richiedendo qualcosa che conosci (la tua password) e qualcosa che hai (in genere un codice). Anche se qualcuno ruba la tua password, non potrà accedere senza il secondo fattore. È davvero buono. La domanda è cosa significa "qualcosa che hai".
Il problema con i codici SMS
I codici SMS vengono inviati al tuo numero di telefono. Il tuo numero di telefono è controllato dal tuo operatore. E gli operatori possono essere manipolati – a volte attraverso l’ingegneria sociale, a volte attraverso la vera e propria corruzione dei dipendenti – per trasferire il tuo numero su una carta SIM controllata dall’aggressore. Questo si chiama scambio SIM.
Una volta trasferito il tuo numero, ogni codice SMS inviato al "tuo" telefono arriva al dispositivo dell'aggressore. La tua password più eventuali due fattori basati su SMS ora appartengono a loro. Obiettivi di alto valore - persone con una quantità significativa di criptovaluta, dirigenti, giornalisti - vengono regolarmente compromessi in questo modo.
Cosa usare invece
Un'app di autenticazione genera codici basati sul tempo sul tuo dispositivo. Non vengono trasmessi sulla rete telefonica: nessuno scambio SIM può intercettarli. App come Google Authenticator o Authy funzionano in questo modo. NordPass include anche un autenticatore integrato, il che significa che i tuoi codici 2FA e le tue password risiedono nello stesso deposito sicuro.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Vale la pena avere due fattori anche nella sua forma più debole. SMS 2FA è di gran lunga migliore di nessun 2FA. Ma se intendi utilizzarlo, sono necessari circa due minuti per account per eseguire l'aggiornamento da SMS a un'app di autenticazione e il divario nella protezione è significativo.
Domande frequenti
What is credential stuffing?+
Il credential stuffing avviene quando gli aggressori prendono combinazioni di email e password esposte in una violazione e le provano automaticamente contro altri servizi. Se riutilizzi le password, una violazione in un sito consente agli aggressori di accedere a tutti gli account con le stesse credenziali.
Is it safe to store all your passwords in one place?+
Sì, quando si utilizza un gestore di password affidabile. Il deposito crittografato è molto più sicuro delle password riutilizzate o deboli. I gestori di password come NordPass utilizzano un'architettura a conoscenza zero, il che significa che nemmeno l'azienda può vedere le password memorizzate.
What is two-factor authentication and should I use it?+
L'autenticazione a due fattori (2FA) richiede un secondo passaggio di verifica oltre alla password, in genere un codice da un'app. Utilizza un'app di autenticazione (Google Authenticator, Authy) anziché i codici SMS, che sono vulnerabili agli attacchi di scambio SIM.
