SSP Editorial Team

2FA mobile: il modo giusto e quello sbagliato

·8 min di lettura·Di SSP Editorial Team
Copertina di SSP Academy per una guida all'autenticazione a due fattori su mobile, con icone di wallet, chiave e scudo su sfondo scuro.

L'autenticazione a due fattori (2FA) è uno degli aggiornamenti di sicurezza con il maggior ritorno che puoi fare — ma solo se usi quella giusta. Per chi usa le cripto, la distanza tra una 2FA forte e una debole è la distanza tra un account che resiste a un attaccante determinato e uno che cede. Il punto è che la forma più diffusa di 2FA — un codice usa e getta inviato via SMS — è anche la più debole. Questa guida ordina le opzioni dalla peggiore alla migliore, spiega perché e ti dà un piano concreto per rafforzare gli account che circondano il tuo wallet.

Una precisazione prima di iniziare: il modello di sicurezza di SSP non è affatto una "2FA" nel senso dei codici usa e getta. SSP usa il multisig: due chiavi di firma indipendenti su due dispositivi. Torneremo sul perché questa distinzione conti. Prima, i codici.

Perché la 2FA via SMS tradisce chi usa le cripto

Un codice usa e getta via SMS dà una sensazione di sicurezza: inserisci la password, arriva un numero di sei cifre, lo digiti. Il problema è che il secondo fattore — il controllo del tuo numero di telefono — è molto più facile da rubare di quanto la maggior parte delle persone immagini.

Due classi di attacco fanno il danno:

  • SIM swapping. Un attaccante convince (o corrompe) il tuo operatore mobile a portare il tuo numero su una SIM che controlla lui. Una volta ottenuto il numero, tutti i codici SMS arrivano a lui. Chi detiene cripto è un bersaglio privilegiato proprio perché il bottino è alto e le transazioni sono irreversibili.
  • Intercettazione tramite SS7. SS7 è il protocollo di segnalazione, vecchio di decenni, che le reti di telecomunicazione usano per instradare chiamate e messaggi. Debolezze note permettono ad attaccanti ben attrezzati di intercettare messaggi SMS senza nemmeno toccare la tua SIM.

Non è una preoccupazione di nicchia. Il National Institute of Standards and Technology statunitense classifica gli SMS come autenticatore "limitato" in NIST SP 800-63B e ne sconsiglia esplicitamente l'uso nei nuovi sistemi. Quando l'ente che definisce l'identità digitale ti dice che un metodo è in via di dismissione, prendilo come un segnale.

La 2FA via SMS è comunque meglio di nessuna 2FA. Ma per qualsiasi account che tocchi il tuo denaro dovrebbe essere l'ultima scelta, non quella predefinita.

App di autenticazione TOTP: la base pratica

La base pratica per chi usa le cripto è un'app di autenticazione TOTP — quelle che mostrano un codice rotante di sei cifre che cambia ogni 30 secondi. TOTP è definito dalla RFC 6238, ed è un passo avanti reale rispetto agli SMS per un motivo strutturale: non c'è alcun numero di telefono da dirottare. Il codice è generato sul tuo dispositivo a partire da un segreto condiviso, quindi SIM swapping e intercettazione SS7 semplicemente non si applicano.

Poche regole rendono TOTP molto più solido:

  • Usa un'app, non gli SMS, ovunque un servizio offra entrambi. La maggior parte degli exchange e dei provider di posta supporta le app di autenticazione.
  • Fai il backup del segreto di configurazione, non solo dei codici. Quando ti registri, conserva l'export di recupero come proteggeresti qualsiasi altra credenziale sensibile.
  • Tienilo, dove possibile, fuori dallo stesso dispositivo da cui accedi, così che una singola macchina compromessa non possieda entrambi i fattori.

TOTP non è perfetto. Il segreto condiviso vive sul telefono, quindi un dispositivo compromesso — o un suo backup nel cloud non sicuro — può farlo trapelare. E soprattutto, un codice TOTP può ancora essere vittima di phishing in tempo reale: una falsa pagina di accesso convincente inoltra la tua password e il tuo codice appena generato direttamente nella sessione dell'attaccante prima che il codice scada. È esattamente questa falla che il livello successivo chiude. Se vuoi riconoscere quelle pagine false, leggi la nostra panoramica sugli attacchi di phishing rivolti a chi usa le cripto.

Passkey e chiavi hardware: resistenti al phishing

Le passkey FIDO2/WebAuthn e le chiavi di sicurezza hardware sono il primo livello davvero resistente al phishing, e il motivo è elegante: la credenziale è legata crittograficamente all'origine del sito web. Il tuo autenticatore esegue l'accesso solo per il dominio reale presso cui è stato registrato. Un sito di phishing che gli somiglia ha un'origine diversa, perciò la passkey semplicemente si rifiuta di rispondere — non c'è alcun codice di sei cifre da inoltrare, perché non c'è alcun codice.

Questa proprietà conta più di ogni altra nell'elenco. SMS e TOTP si affidano entrambi a una persona che legge un numero e lo digita da qualche parte; le passkey eliminano del tutto il segreto copiabile da un umano. Un attaccante che costruisce un clone perfetto dell'accesso al tuo exchange non ottiene nulla, perché la sfida crittografica viene risolta da un hardware che verifica l'origine al posto tuo.

Le chiavi di sicurezza hardware — quelle fisiche che avvicini o colleghi — e le passkey di piattaforma conservate nel secure element del tuo telefono o computer implementano entrambe questo. Per gli account di alto valore, una chiave hardware è il secondo fattore più solido e ampiamente disponibile che puoi acquistare.

SSP Key è un cofirmatario, non un codice

Ecco la distinzione che manda in confusione: la sicurezza di SSP non è affatto una "2FA" nel senso dei codici usa e getta. È multisig.

Una configurazione 2FA standard protegge l'accesso all'account. SSP protegge la transazione stessa. SSP usa uno schema 2 su 2: una chiave risiede nell'estensione del browser, l'altra è la SSP Key sul tuo telefono. Entrambe devono firmare in modo indipendente prima che i fondi possano muoversi. SSP Key è un cofirmatario crittografico — non un numero di sei cifre che digiti, ma un dispositivo separato che custodisce una chiave separata e produce una firma vera.

La conseguenza è strutturale. Supponi che un attaccante comprometta del tutto la tua estensione del browser — con phishing o impossessandosi della macchina su cui gira. Con un codice di sei cifre a livello di app, quella singola compromissione può bastare. Con SSP no: muovere i fondi richiede comunque un'approvazione indipendente sul tuo telefono, dove vedi i dettagli della transazione e firmi con la seconda chiave. Il solo lato browser non può inviare nulla. Quella seconda superficie di firma indipendente è ciò che un codice di sei cifre non potrà mai essere — una chiave che l'attaccante deve compromettere anche lui, su un dispositivo diverso, nello stesso momento.

Per essere precisi su cosa fa e cosa non fa: SSP protegge l'atto di spendere. Non sostituisce una buona igiene sugli account intorno al tuo wallet. Se sei nuovo a questo modello, configura il tuo primo wallet SSP e osserva di persona il flusso di approvazione su due dispositivi.

Mettere in sicurezza gli account intorno al tuo wallet

Il tuo wallet non è un'isola. Gli account che lo circondano — e-mail, accessi agli exchange, backup nel cloud, gestore di password — sono spesso la via più morbida verso i tuoi fondi. Un attaccante che si prende la tua e-mail può reimpostare da lì metà degli altri tuoi accessi.

Applica la stessa scala a ognuno di essi:

  • E-mail: passkey o chiave hardware se disponibile; altrimenti TOTP. Mai solo SMS. La tua e-mail è l'interruttore principale di reimpostazione di tutto il resto.
  • Exchange: chiave hardware o passkey per l'accesso; non affidarti mai agli SMS e disattiva il recupero via SMS se l'exchange te lo consente.
  • Cloud e gestore di password: TOTP come minimo, passkey dove disponibile.
  • Operatore mobile: aggiungi un PIN di portabilità o un blocco dell'account per frenare i tentativi di SIM swapping.

Poiché il tuo telefono custodisce sempre più sia il tuo autenticatore sia la tua SSP Key, trattalo come un confine di sicurezza a sé stante — blocco schermo robusto, sistema operativo aggiornato, nessuna app installata fuori dagli store. Per approfondire in cosa un wallet incentrato sul telefono è bravo e in cosa no, vedi wallet cripto mobili: in cosa sono bravi. E quando sei pronto a irrobustire tutto in un colpo solo, percorri la checklist di autocustodia per i tuoi primi 1.000 $.

Un piano per migliorare la tua 2FA

Non devi fare tutto in una volta. Procedi dall'alto verso il basso, per valore:

  1. Inventario. Elenca ogni account che può toccare il tuo denaro o reimpostare un altro account: prima l'e-mail, poi gli exchange, infine il cloud e il gestore di password.
  2. Elimina il solo-SMS. Ovunque l'SMS sia il tuo unico secondo fattore, aggiungi un metodo più forte e togli l'SMS come via di recupero dove il servizio lo consente.
  3. Aggiungi TOTP ovunque sia offerto. È la tua base; chiude all'istante le falle del SIM swapping e dell'SS7.
  4. Porta i tuoi account principali a passkey o a una chiave hardware. Prima e-mail ed exchange — sono gli account che una pagina di phishing brama di più.
  5. Blinda l'operatore. Imposta un PIN di portabilità così che un estraneo non possa spostare il tuo numero.
  6. Ricontrolla ogni trimestre. Le opzioni di autenticazione cambiano; un servizio che l'anno scorso aveva solo SMS potrebbe ora supportare le passkey.

Il programma "Secure Our World" della CISA pubblica indicazioni in linguaggio semplice da condividere con i familiari meno tecnici — vedi CISA.

Vai avanti

Una 2FA forte è uno strato. Protegge le porte intorno al tuo wallet; il multisig di SSP protegge la spesa stessa. Insieme rimuovono i singoli punti di guasto su cui inciampa la maggior parte delle persone.

Continua a costruire da qui:

Condividi questo articolo

Articoli correlati

Illustrazione passo passo di un wallet SSP in fase di configurazione su un telefono e un browser

Configurare il tuo primo wallet SSP

Guida passo passo a SSP Wallet: installa app ed estensione, accoppia due dispositivi, crea un wallet 2-of-2 e invia la tua prima transazione.

6 min read
Copertina SSP Academy per una guida per principianti sui wallet crypto mobile e SSP Key

Wallet crypto mobile: punti di forza, rischi e SSP Key

Cosa fanno bene i wallet crypto mobile — sempre a portata di mano, sblocco biometrico, scansione QR —, i loro limiti e come si inserisce SSP Key.

7 min read
Copertina sulla sicurezza SSP con icone di wallet, chiave, scudo e chip, che illustra una guida agli attacchi di phishing crypto.

Attacchi di phishing contro gli utenti crypto (e come riconoscerli)

Il phishing crypto prende di mira te, non la crittografia. Impara i pattern — wallet drainer, approval phishing, address poisoning — e come SSP aiuta.

7 min read