L autenticazione a due fattori (2FA) e un processo di accesso che richiede due prove indipendenti di identita prima di concedere l accesso a un account. Il primo fattore e di solito qualcosa che l utente sa (una password). Il secondo fattore e qualcosa che l utente ha (smartphone con app TOTP, chiave hardware come YubiKey, codice SMS, notifica push) o qualcosa che l utente e (impronta, scansione del viso). Anche se un attaccante ruba la password tramite phishing, una violazione di dati o credential stuffing, non puo accedere senza controllare il secondo fattore. Google ha riportato a maggio 2019 che aggiungere un numero di recupero blocca il 100 percento degli attacchi automatici, il 99 percento del phishing di massa e il 90 percento degli attacchi mirati. Microsoft ha pubblicato nel 2019 che gli account con qualsiasi forma di 2FA hanno il 99,9 percento di probabilita in meno di essere compromessi.
Come funziona la 2FA?
- TOTP: codice a 6 cifre che cambia ogni 30 secondi (RFC 6238, 2011).
- Push: Duo Mobile, Microsoft Authenticator.
- SMS: vulnerabile al SIM swap.
- Email.
- Chiave hardware: YubiKey, Google Titan, Feitian, Nitrokey.
- Biometria: Touch ID, Face ID, Windows Hello.
- Codici di backup.
Differenza tra 2FA e MFA
MFA e il termine generico. 2FA usa esattamente due fattori. PSD2 e Executive Order 14028 (maggio 2021) richiedono talvolta tre fattori.
Quale metodo e il piu sicuro?
- Passkey / WebAuthn / FIDO2 hardware.
- App TOTP.
- Push: rischio MFA fatigue, incidente Uber 2022.
- SMS: il piu debole. Jack Dorsey, agosto 2019.
- Email.
Cosa sono le Passkey?
Evoluzione senza password di WebAuthn standardizzata dalla FIDO Alliance, supportata da Apple (iOS 16, settembre 2022), Google (Chrome 108, ottobre 2022) e Microsoft (Windows 11). Chiave privata in un enclave sicuro, login biometrico, immune al phishing.
Come attivo 2FA in WordPress?
- Two Factor (gratis, oltre 40.000 installazioni).
- Wordfence Login Security.
- WP 2FA di Melapress.
- miniOrange Google Authenticator.
- Jetpack.
Passi con Two Factor:
- Installa e attiva.
- Apri
Utenti » Profiloe trova Two Factor Options. - Attiva TOTP, scansiona il QR, inserisci il codice.
- Genera codici di backup.
- Opzionalmente registra una YubiKey.
- Esci e prova.
MFA fatigue
- TOTP o chiavi hardware per gli account critici.
- Attiva number matching (Microsoft Authenticator da febbraio 2023).
- Blocca dopo piu rifiuti.
- Forma gli utenti.
Standard di 2FA
| Standard | Anno | Scopo |
|---|---|---|
| RFC 4226 HOTP | 2005 | OTP basato su contatore |
| RFC 6238 TOTP | 2011 | OTP basato sul tempo |
| FIDO U2F | 2014 | Chiave hardware |
| FIDO2 / WebAuthn | 2019 | Login senza password |
| NIST SP 800 63B Rev 3 | 2017 | Linee guida federali USA |
| PSD2 SCA | 2019 | Autenticazione forte dei pagamenti |
| Passkey | 2022 | WebAuthn sincronizzato |
Errori comuni
- Salvare i codici di backup nello stesso gestore di password.
- Stessa SIM per SMS 2FA ed email di recupero.
- Nessuna seconda chiave hardware di backup.
- Reset password via email senza richiedere 2FA.
- 2FA non obbligatoria per gli amministratori.
Come InspectWP aiuta con 2FA?
InspectWP rileva se un sito WordPress espone /wp-login.php senza sfida 2FA visibile.