Cybersecurity

Autenticazione a due fattori (MFA): perché non è più opzionale

Una password robusta non basta più. L'MFA blocca il 99% degli attacchi automatizzati. Eppure molte aziende lo rimandano.

Navarro Sistemi 16 March 2026 5 min di lettura 0 visualizzazioni

L'autenticazione a due fattori esiste da decenni, ma negli ultimi anni è passata da "buona pratica" a "obbligo di fatto". Microsoft, Google, banche, gestionali cloud: tutti la richiedono o la richiederanno entro breve. Capire come funziona, quali tipi esistono e dove va attivata è essenziale.

Cos'è davvero l'MFA

Multi-Factor Authentication significa combinare almeno due elementi diversi tra:

Una password robusta da sola è un singolo fattore. Aggiungere un codice da app o una chiave fisica è un secondo fattore. Se la password viene rubata, l'accesso resta bloccato.

I tipi di MFA, dal peggiore al migliore

SMS - sconsigliato

Vulnerabile al SIM swap (l'attaccante si fa rilasciare una nuova SIM dal gestore). Meglio di niente, ma evitare dove possibile per accessi critici.

Email - debole

Inutile se la mail è già il fattore compromesso. Da non considerare un secondo fattore vero.

App di autenticazione - standard

Google Authenticator, Microsoft Authenticator, Authy. Generano codici TOTP che cambiano ogni 30 secondi. Ottimo equilibrio fra sicurezza e praticità.

Push notification - molto buono

L'app riceve una notifica e l'utente conferma con un tap. Veloce e sicuro, ma attenzione al "MFA fatigue" (l'utente conferma per disattenzione).

Chiavi hardware - massimo livello

YubiKey, Google Titan. Resistenti al phishing, immuni a SIM swap. Il gold standard per amministratori e ruoli critici. Costo 30-60 euro l'una.

Passkey - il futuro

Le passkey sostituiscono la password con crittografia asimmetrica legata al dispositivo. Stanno diventando lo standard per Apple, Google, Microsoft. Più sicure e più semplici, sono il prossimo grande passo.

Dove attivare l'MFA, in ordine di priorità

  1. Email aziendale: la mail è la chiave di tutto, va protetta per prima.
  2. Account amministratori: server, firewall, gestionali, dominio.
  3. Banche e home banking aziendale.
  4. Accessi VPN e RDP.
  5. Servizi cloud: Microsoft 365, Google Workspace, Dropbox aziendale.
  6. Password manager: l'accesso al vault deve essere sempre con MFA.
  7. Social aziendali e domini: l'hijacking di un account social aziendale fa molto danno reputazionale.

L'attacco MFA fatigue

Gli attaccanti che hanno ottenuto la password tentano accessi ripetuti, generando decine di notifiche push. Sperano che l'utente, infastidito, accetti per "fare smettere quelle notifiche". È così che molte aziende sono state compromesse anche con MFA attivo. Soluzioni: number matching (l'utente deve scrivere il numero che vede), bloccare gli accessi dopo X tentativi falliti, formare il personale.

Il bilancio costi-benefici

Implementare MFA su un'azienda di 20 persone richiede tipicamente 2-3 giorni di lavoro, costo di poche centinaia di euro per le chiavi hardware sui ruoli critici, formazione di un'ora. Una violazione media costa migliaia di volte tanto.

Conclusione

Se nella tua azienda ci sono ancora servizi accessibili con sola password, è solo questione di tempo prima che diventi un problema. Possiamo affiancarti nell'implementazione MFA su tutti i fronti critici, in modo graduale e senza disservizi.

#MFA #autenticazione due fattori #sicurezza #passkey #yubikey
Servizi
Fibra
Gestione
Supporto
Contatti