Quando si tratta di proteggere le tue password e i dati sensibili, non tutti i metodi di autenticazione a due fattori (2FA) sono creati uguali. Molti servizi offrono ancora il 2FA basato su SMS, ma piattaforme attente alla sicurezza come Psono lo evitano del tutto a favore di opzioni più forti come WebAuthn, YubiKey e TOTP (Password Monouso Basata sul Tempo).

Questa non è solo una preferenza—è una necessità per una sicurezza robusta. Il 2FA basato su SMS presenta vulnerabilità significative, e attacchi nel mondo reale hanno dimostrato che è facile bersaglio per gli hacker. In questo post del blog, esamineremo perché il 2FA SMS è debole e evidenzieremo attacchi nel mondo reale che dimostrano i suoi difetti.

🔒 La Debolezza del 2FA Basato su SMS

L'autenticazione basata su SMS è vulnerabile a diversi metodi di attacco, tra cui:

  • SIM Swapping – Gli aggressori ingannano i fornitori di servizi mobili nel trasferire il numero di telefono della vittima su una nuova SIM, intercettando tutti i codici SMS.
  • Attacchi SS7 – Sfruttano le falle nel protocollo globale Signaling System No. 7 (SS7) per intercettare i messaggi SMS da remoto.
  • Phishing & Social Engineering – Ingannano gli utenti facendogli rivelare i codici basati su SMS tramite pagine di login false.

Questi rischi rendono il 2FA basato su SMS una delle forme di autenticazione più deboli.

🛡️ Perché Psono Usa 2FA Più Forte

Psono dà priorità alla sicurezza e supporta solo metodi robusti di 2FA, tra cui:

  • WebAuthn (FIDO2) – Utilizza la crittografia a chiave pubblica e la biometria o chiavi di sicurezza hardware (es. YubiKey).
  • YubiKey e Altre Chiavi di Sicurezza – Token fisici che richiedono accesso diretto per autenticarsi.
  • TOTP (Google Authenticator, Authy, ecc.) – Password monouso generate su un dispositivo piuttosto che trasmesse via SMS.

Questi metodi sono significativamente più sicuri perché sono resistenti al phishing, non si affidano a fornitori di servizi mobili e eliminano i rischi di presa di controllo remota.

📢 Attacchi nel Mondo Reale al 2FA SMS

Per illustrare perché Psono si rifiuta di implementare l'autenticazione basata su SMS, ecco attacchi nel mondo reale che hanno sfruttato le sue debolezze:

1. Il Bersagliamento delle Telecomunicazioni USA da parte della Cina (Sfruttamenti SS7 & Altro)

A febbraio 2024, FBI e CISA hanno emesso un avvertimento congiunto su hacker sponsorizzati dallo stato cinese che bersagliavano le reti di telecomunicazioni commerciali. Questi attacchi hanno sfruttato vulnerabilità nel SS7—il protocollo usato per instradare i messaggi SMS. Gli aggressori sono stati in grado di intercettare i messaggi di autenticazione, dimostrando come il 2FA SMS possa essere compromesso a livello sistemico.

2. Attacco SIM Swap a Jack Dorsey, CEO di Twitter (X) (2019)

Nel 2019, l'allora CEO di Twitter, Jack Dorsey, ha visto il suo account compromesso attraverso un attacco SIM swap. Gli hacker hanno convinto il suo operatore mobile a trasferire il suo numero di telefono sulla loro SIM card, permettendo di intercettare i codici SMS del 2FA e prendere controllo del suo account Twitter.

3. Attacchi SIM Swap su Coinbase (2021) – Migliaia di Dollari Rubati

Nel 2021, Coinbase ha reso noto che oltre 6.000 clienti hanno perso fondi a causa di un massiccio attacco SIM swap. Gli hacker hanno resettato le password delle vittime usando codici SMS intercettati, ottenendo completo controllo sugli account e rubando criptovalute.

4. Violazione dei Dati di Reddit del 2018 – Fallimento del 2FA SMS

Nel 2018, Reddit ha subito una violazione dei dati in cui gli hacker hanno avuto accesso agli account dei dipendenti nonostante il 2FA basato su SMS fosse attivato. Gli aggressori hanno usato codici SMS intercettati per aggirare l'autenticazione, esponendo dati sensibili degli utenti.

🚀 Il Futuro del 2FA: Andare Oltre l'SMS

Se stai ancora utilizzando il 2FA basato su SMS, è tempo di passare a un'alternativa più forte come WebAuthn, YubiKey o TOTP. L'impegno di Psono per la sicurezza significa che non comprometterà mai offrendo l'autenticazione basata su SMS.

Vuoi rimanere sicuro? Usa chiavi di sicurezza hardware, app TOTP o autenticazione biometrica—non affidarti mai solo all'autenticazione basata su SMS.

Proteggi i tuoi account nel modo giusto—abbandona l'SMS 2FA!

Domande Frequenti sull'Autenticazione a Due Fattori (2FA)

Che cos'è l'Autenticazione a Due Fattori (2FA) e perché è importante?

L'Autenticazione a Due Fattori (2FA) è un ulteriore livello di sicurezza che richiede due forme di autenticazione prima di concedere l'accesso a un account. Invece di usare solo una password, è necessario anche un secondo fattore, come:

  • Un codice monouso da un'app di autenticazione (TOTP)
  • Una chiave di sicurezza hardware (es. YubiKey, Titan Security Key)
  • Autenticazione biometrica (impronta digitale, riconoscimento facciale)

Riduce significativamente il rischio di accessi non autorizzati, anche se un malintenzionato ottiene la tua password.

Quali sono i tipi più forti di 2FA?

I secondi fattori più sicuri sono quelli che sono resistenti al phishing e non possono essere facilmente intercettati. Questi includono:

  • Chiavi di sicurezza FIDO2/WebAuthn (es. YubiKey, Titan Security Key)
  • App di autenticazione basate su TOTP (Google Authenticator, Authy, Aegis)
  • Passkey (autenticazione senza password usando biometria o chiavi di sicurezza hardware)

Metodi più deboli (da evitare):

  • 2FA basato su SMS – Soggetto ad attacchi SIM swap e sfruttamenti SS7
  • 2FA basato su email – Può essere compromesso se il tuo email viene hackerato

Perché il 2FA basato su SMS è considerato insicuro?

Il 2FA basato su SMS è vulnerabile a diversi metodi di attacco, come:

  • Attacchi SIM Swap – Gli hacker ingannano il tuo operatore mobile nel trasferire il tuo numero sulla loro SIM, permettendo di ricevere i tuoi codici 2FA.
  • Sfruttamenti SS7 – Gli aggressori intercettano i messaggi SMS sfruttando vulnerabilità nell'infrastruttura delle telecomunicazioni.
  • Attacchi Phishing – Siti web falsi ingannano gli utenti facendogli inserire i loro codici SMS, permettendo agli aggressori di entrare.

🔹 Alternative migliori: Usa chiavi di sicurezza hardware o app TOTP invece del 2FA SMS.

Cosa succede se perdo il mio secondo fattore (es. telefono, YubiKey)?

Se perdi l'accesso al tuo secondo fattore, puoi recuperare il tuo account:

  1. Utilizzando codici di backup – Molti servizi forniscono codici di backup una tantum quando si configura il 2FA. Conservateli in sicurezza.
  2. Utilizzando un dispositivo di backup – Alcune app autenticatrici permettono a più dispositivi di memorizzare codici TOTP.
  3. Contattando l'assistenza – Alcuni servizi offrono il recupero dell'account, ma può essere lento e richiede prova d'identità.
  4. Utilizzando una seconda chiave hardware – Se il servizio lo supporta, registra più chiavi di sicurezza (principale + backup).

🔹 Suggerimento esperto: Sempre configurare più metodi di autenticazione nel caso in cui uno fallisca.

Gli hacker possono bypassare il 2FA?

Sebbene il 2FA migliori significativamente la sicurezza, alcuni metodi possono essere aggirati con attacchi avanzati:

🚨 Metodi di attacco comuni:

  • Attacchi Phishing – Pagine di login false ingannano gli utenti facendogli inserire sia la password che il codice 2FA.
  • Attacchi Man-in-the-Middle (MitM) – Intercettazione di token di autenticazione su reti non sicure.
  • SIM swapping – Reindirizzamento dei codici SMS al telefono di un attaccante.

Come prevenirlo:

  • Usa autenticazione resistente al phishing (WebAuthn, passkey, chiavi di sicurezza).
  • Abilita autenticazione associata ai dispositivi (così i token non possono essere riutilizzati da remoto).
  • Sii cauto con le pagine di login sospette – Verifica sempre gli URL prima di inserire le credenziali.
scritto da Sascha Pfeiffer il February 12, 2025
Documentazione di Psono

Cerchi di più?

Scopri i nostri ultimi articoli qui!