Cos'è la 2FA, autenticazione a due fattori

Autenticazione a due fattori (2FA): cos’è, come funziona, normativa

Data di pubblicazione: 12 Marzo 2024

La strong authentication, ovvero l’autenticazione a due o più fattori, rappresenta il più sicuro ed efficace sistema di protezione degli account. Al giorno d’oggi, infatti, non è più sufficiente utilizzare una password forte per garantire la sicurezza degli account.

Anzi: è ormai necessario utilizzare la cosiddetta “autenticazione forte” per evitare accessi indesiderati e violazioni della privacy. Ma cos’è esattamente l’autenticazione a due fattori e come funziona? Scopriamo di più.

Indice dei contenuti

Cos’è l’autenticazione a due fattori (2FA)?

L’autenticazione a due fattori (2FA: two factor authentication), chiamata anche MFA (Multi-Factor Authentication), è un sistema di sicurezza aggiuntivo capace di proteggere in modo efficiente qualsiasi account.

L’autenticazione a due fattori non deve, al giorno d’oggi, essere considerata una misura protettiva di lusso, da applicare solo in casi specifici. Deve, infatti, diventare una buona pratica quotidiana per qualsiasi account: da quelli personali a quelli aziendali. Per tutti quegli account che gestiscono e conservano dati importanti.

Mentre l’autenticazione a un fattore avviene inserendo semplicemente la password e l’username, l’autenticazione a due fattori necessita dell’inserimento di due o più fattori, di matrice differente. In particolare:

fattori di conoscenza, per esempio un PIN o una password;
fattori di possesso, come un token di sicurezza (spesso utilizzati dalle banche per la generazione di un codice);
fattori di inerenza, come il timbro vocale, l’iride, il viso, l’impronta digitale o altri dati biometrici.

Nella 2FA viene utilizzata la combinazione di due fattori: ad esempio, una password e un token, oppure una password e un dato biometrico. Non viene considerata 2FA un’autenticazione eseguita con due password, in quanto i due fattori hanno la stessa natura.

Tipologie di fattori di autenticazione che utilizza 2FA

Come anticipato, sono principalmente 3 le macro categorie di fattori utilizzati nell’autenticazione a due fattori. Tra i fattori di conoscenza rientrano strumenti quali:

password, ovvero la classica chiave d’accesso conosciuta solo dall’utente;
PIN, il codice numerico segreto, spesso impiegato per le carte di credito o bancomat;
domanda di sicurezza di natura personale, la cui risposta deve essere nota solo all’utente.

I fattori di possesso possono comprendere:

token software, ovvero codici temporanei generati da un’applicazione installata sullo smartphone (i cosiddetti OTP, One Time Password);
token hardware, piccoli dispositivi fisici in grado di generare un codice temporaneo o di memorizzare informazioni biometriche;
smart card, schede munite di chip capaci di memorizzare le informazioni identificative dell’utente.

Tra i fattori biometrici rientrano:

le impronte digitali;
il riconoscimento facciale;
il riconoscimento vocale.

Negli ultimi anni, grazie all’innovazione tecnologica, sono entrati in gioco i:

fattori intrinseci, che includono le caratteristiche fisiche dell’utente quali il battito cardiaco o la geometria della mano;
fattori comportamentali, riguardanti le modalità e le abitudini di utilizzo di un dispositivo, come la velocità di digitazione o la pressione del tasto;
Single sign-on (SSO), un particolare sistema di autenticazione che consente di accedere a più applicazioni mediante una coppia unica di credenziali.

Come funziona la 2FA

Utilizzare la 2FA è semplice e comodo: tale procedura consiste, innanzitutto, nell’inserimento della password (primo fattore). Successivamente, il sistema richiederà un secondo fattore, molto spesso un codice numerico. Questo fattore può essere conosciuto mediante lo smartphone, sotto forma di SMS o grazie a un’apposita applicazione o a un token fisico.

Il secondo codice, a differenza della password, risulta al 100% sicuro in quanto generato in modo pseudocasuale. Il codice, creato da un algoritmo, ha inoltre una durata limitata nel tempo (dai 30 ai 60 secondi). Pertanto, viene definito come OTP (One Time Password).

Una volta inserita la password, se non viene coinvolto un fattore di possesso, verrà richiesto un dato biometrico. Ad esempio, la scansione dell’impronta digitale, il riconoscimento facciale o vocale.

Perché è importante?

L’utilizzo dell’autenticazione a due fattori consente di proteggere sia le risorse personali che quelle aziendali dai rischi connessi a un attacco informatico. La 2FA, infatti, impedisce agli hacker di trafugare, distruggere o accedere ai record di dati.

L’autenticazione a due fattori, quindi, rappresenta il migliore strumento per:

aumentare la sicurezza dei dati, rendendo difficile se non impossibile accedere agli account. Anche quando l’hacker ruba o individua la password, l’account rimane protetto dal secondo fattore. Inoltre, la 2FA permette di proteggere l’account dagli attacchi phishing e dai malware, riducendo il rischio di furti di identità e di frodi;
garantire la conformità normativa. In alcuni settori, l’autenticazione a due fattori è divenuta obbligatoria per legge, a tutela della privacy e della sicurezza dei dati. Pertanto, molte aziende e organizzazioni adottano la 2FA per adeguarsi alle normative ed evitare multe e sanzioni;
proteggere i dati sensibili, in quanto aggiunge un ulteriore livello di sicurezza a protezione di informazioni sanitarie, finanziarie o personali. Ciò si trasforma in un aumento della fiducia degli utenti nei confronti dell’azienda, che dimostra il suo impegno per garantire sicurezza ai dati dei consumatori;
miglioramento della user experience (UX). L’autenticazione a due fattori, infatti, rappresenta un metodo estremamente comodo e sicuro, alternativo all’utilizzo delle sole password, spesso troppo complesse e difficili da ricordare. Alcune soluzioni di 2FA risultano ancor più semplici da utilizzare perché integrabili con altri sistemi di autenticazione.

Conformità normativa

La 2FA ha assunto, negli ultimi anni, un ruolo sempre più importante nell’ambito della sicurezza informatica. Non solo una best practice, ma anche un vero e proprio obbligo normativo in alcuni delicati settori.

In particolare, alcune normative prevedono l’impiego dell’autenticazione a due fattori:

Direttiva Europea sui pagamenti (PSD2). Questa normativa impone l’utilizzo della 2FA per transazioni online superiori a 30 euro, con l’obiettivo di aumentare il livello di sicurezza riducendo il rischio di frodi;

General Data Protection Regulation (GDPR). Questo regolamento, vigente in tutta Europa, tutela i dati personali dei cittadini dell’UE. Il GDPR rende obbligato l’utilizzo della 2FA per l’accesso a dati personali e sensibili, al fine di proteggere le informazioni sensibili dal rischio di furto, violazione o intrusione;
Cybersecurity Act (CSA). Questa legge europea è stata introdotta per rafforzare la sicurezza informatica delle infrastrutture critiche. Anche questa norma rende obbligatorio l’uso dell’autenticazione a due fattori per gli operatori di servizi essenziali, come fornitori di energia elettrica e telecomunicazioni;
Mifid II. Trattasi di una direttiva europea che regolamenta i mercati finanziari. Anch’essa impone l’utilizzo della 2FA per l’accesso ai conti di investimento online, con il fine di proteggerli da intrusioni e frodi.

2FA senza password

La costante evoluzione tecnologica ha reso possibile la progettazione di soluzioni di autenticazione a due fattori che non impiegano password. In questo caso, la 2FA utilizza token hardware o fattori biometrici per l’identificazione dell’utente. In particolare, la 2FA senza password funziona con:

fattori biometrici come il riconoscimento facciale, la scansione dell’iride o l’impronta digitale. Questi dati garantiscono un elevato livello di sicurezza, in quanto si tratta di informazioni uniche, difficilmente duplicabili;
token hardware come smart card, chiavette USB e altri dispositivi fisici che generano codici temporanei o memorizzano informazioni biometriche.

Nonostante gli indubbi vantaggi della 2FA senza password, questa pratica non è scevra di sfide:

costi. Questi sistemi possono essere più dispendiosi sia da implementare che da mantenere rispetto ai sistemi basati su password;
compatibilità. Non tutti i sistemi e i dispositivi sono compatibili con le tecnologie di autenticazione biometrica o i con token hardware;
problemi di privacy. L’utilizzo dei dati biometrici solleva dubbi relativi alla privacy e alla sicurezza dei dati degli utenti.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cos’è l’autenticazione a due fattori (2FA)?

Tipologie di fattori di autenticazione che utilizza 2FA

Come funziona la 2FA

Perché è importante?

Conformità normativa

2FA senza password

Desideri parlare con un nostro esperto? Contattaci

Ultime News Cybersecurity

NIS2, cosa significa e come inserire la direttiva in azienda

Cos’è l’SSO, il Single Sign-On per accedere alle risorse aziendali

Cos’è un Ransomware? Ecco come attacca e come puoi proteggerti

Chief information security officer: chi è e cosa fa in azienda il CISO

Cos’è TISAX® e qual è il suo ruolo nella sicurezza dell’automotive

Come prevenire gli attacchi ransomware

Ransomware: gestione avanzata, tendenze e futuro

Come implementare il penetration test?

Black Hat Hacker: Storia, Strategie, Esempi e Confronti

Pharming: Cos’è, Tipologie e Come prevenirlo

Cloud Computing: tutto quello che c’è da sapere

NIS2, cosa significa e come inserire la direttiva in azienda

Guida SQL Server, tutto quello che devi sapere

Cos’è l’Iperconvergenza, come funziona e differenze

Che cos’è un malware e come affrontarlo?

Cos’è un Ransomware? Ecco come attacca e come puoi proteggerti

Cos’è un server, come funziona, tipologie

Penetration Test: Cos’è, Tipologie e perchè è così importante

Firewall: Cos’è, come funziona e perché è indispensabile per l’azienda

Cyber Security: cos’è, come funziona, minacce

SIEM: ecco cos’è il Security Information and Event Management

Intelligenza Artificiale (AI): Cos’è, Come funziona, Esempi e Futuro

Phishing: cos’è e come prevenirlo

Security Operation Center (SOC): come gestire con efficacia la sicurezza IT

Disaster Recovery: Cos’è, Come funziona, Tipologie, Vantaggi

Cos’è il Vulnerability Assessment

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.

Autenticazione a due fattori (2FA): cos’è, come funziona, normativa

Cos’è l’autenticazione a due fattori (2FA)?

Tipologie di fattori di autenticazione che utilizza 2FA

Come funziona la 2FA

Perché è importante?

Conformità normativa

2FA senza password

Desideri parlare con un nostro esperto? Contattaci

Ultime News Cybersecurity