Passkeys o 2FA: quale protegge meglio le tue criptovalute?
La tua password viene compromessa in una violazione di cui non verrai mai a conoscenza. Qualche settimana dopo, qualcuno tenta di utilizzarla sul tuo exchange di criptovalute e l'unica cosa che lo separa dal tuo saldo è un codice a sei cifre inviato al tuo telefono. Quel codice avrebbe dovuto essere la barriera invalicabile. Per anni è stato sufficiente. Il dibattito tra Passkeys e autenticazione a due fattori (2FA) verte sull'affidabilità di tale barriera e sulla sincerità della risposta, fondamentale per chiunque gestisca denaro che si muove in un'unica direzione. Questa guida spiega entrambi i metodi in termini semplici, li confronta direttamente e mostra perché l'attacco che effettivamente svuota i conti non rallenta di molto l'autenticazione a due fattori tradizionale.
Che cos'è l'autenticazione a due fattori (2FA)?
L'autenticazione a due fattori, a volte scritta come 2 fattori, è un secondo controllo che si aggiunge alla password, e l'idea alla base è talmente semplice che la maggior parte delle persone la usa già senza pensarci. Anche se qualcuno ruba il primo fattore, ha comunque bisogno del secondo per poter accedere. Gli esperti di sicurezza tendono a suddividere questi fattori in tre categorie principali: qualcosa che si conosce, come una password o un PIN; qualcosa che si possiede, come il telefono o un token hardware; e qualcosa che si è, come un'impronta digitale o una scansione del volto. Un sistema di autenticazione a due fattori combina semplicemente due di questi tre elementi.
Il problema è che non tutti i secondi fattori di autenticazione sono uguali, e l'opzione "Attiva 2FA" lo nasconde silenziosamente. Un codice SMS è l'opzione più debole tra quelle più comuni, un codice proveniente da un'app di autenticazione come Google Authenticator , solitamente un TOTP che si rinnova ogni 30 secondi, è decisamente più sicuro, e una chiave di sicurezza fisica è ancora più sicura. Microsoft ha affermato che l'attivazione dell'autenticazione a più fattori (MFA) blocca circa il 99,9% degli attacchi automatizzati agli account, il che significa che la soluzione di base funziona bene contro i tentativi di massa e di basso livello, e la domanda centrale di questo articolo è cosa succede quando l'attaccante non si impegna affatto a fondo.
Ecco come si presentano i fattori secondari più comuni.
| Metodo 2FA | Come funziona | Resistente al phishing? | Principale punto debole |
|---|---|---|---|
| codice SMS | Codice monouso inviato tramite SMS al tuo numero | NO | Scambio SIM, intercettazione SS7 |
| Applicazione di autenticazione (TOTP) | Rotazione del codice in un'app | NO | Phishing in tempo reale tramite relay |
| Approvazione del push | Tocca "approva" sul tuo telefono | NO | Affaticamento da MFA, bombardamento immediato |
| Chiave di sicurezza hardware | Chiave fisica da inserire o toccare | SÌ | Il costo può essere perso |
Il passaggio decisivo si trova nell'ultima riga. I codici SMS, i codici delle app e le notifiche push condividono tutti un punto debole: una persona può essere indotta a completarli sul sito sbagliato, mentre una chiave di sicurezza hardware è assolutamente inattaccabile. Questa è la stessa caratteristica su cui si basa una passkey, quindi la vera differenza sta tra fattori vulnerabili al phishing e fattori resistenti al phishing, piuttosto che tra una password e un secondo fattore di autenticazione.
Cos'è una password e come funzionano le password?
Una password non è un codice migliore; è una coppia di chiavi crittografiche, e comprendere questa coppia è fondamentale. Quando crei una password per un sito web o un'app, il tuo dispositivo genera silenziosamente due valori collegati, una chiave pubblica e una chiave privata, utilizzando gli standard FIDO2 e WebAuthn che Apple, Google e Microsoft hanno integrato nei loro sistemi come base dell'autenticazione senza password.
Le password si sono diffuse rapidamente. La FIDO Alliance ha segnalato circa 5 miliardi di password attive a maggio 2026, con il 75% dei consumatori che ne aveva attivata una su almeno un account. Non si tratta più di una funzionalità di nicchia.
La stretta di mano tra chiave pubblica e privata
La separazione tra le due chiavi è ciò che garantisce la sicurezza di una password. Immaginate la chiave pubblica come un lucchetto di cui il sito web conserva una copia, e la chiave privata come l'unica cosa in grado di aprirlo, sigillata all'interno del vostro telefono. Quando effettuate l'accesso, il sito invia al vostro dispositivo un codice di accesso monouso da firmare. Il vostro dispositivo firma il codice con la chiave privata, invia la risposta, il server la confronta con la chiave pubblica già in suo possesso e l'accesso è consentito. Nessun dato segreto viene mai trasmesso sulla rete, quindi chiunque intercetti la comunicazione non ha nulla da rubare e riutilizzare in seguito.
Un controllo biometrico o il PIN del dispositivo sbloccano la chiave privata localmente, consentendone la firma. L'impronta digitale non raggiunge mai il server. Confrontate questo con una password, che viene fornita per intero ogni volta che si effettua l'accesso, confidando che chi si trova dall'altra parte la conservi in modo sicuro.
Dove vengono memorizzate le tue password: sincronizzate o associate al dispositivo
Le password di accesso si presentano in due forme. Le password di accesso sincronizzate risiedono in un gestore di password o nel portachiavi della piattaforma (come quello di Apple, di Google, o strumenti come 1Password o Bitwarden) e ti seguono su tutti i dispositivi. Le password di accesso associate al dispositivo, incluse quelle su chiavi di sicurezza hardware, rimangono sempre legate al singolo dispositivo che le ha generate. Le password di accesso sincronizzate sono più pratiche e resistono anche in caso di smarrimento del telefono; le chiavi associate al dispositivo offrono la massima sicurezza fisica perché le chiavi crittografiche sono fissate a un oggetto che puoi riporre in un luogo sicuro.
Passkeys vs 2FA: le principali differenze
Il modo più semplice per comprendere la differenza è questo: l'autenticazione a due fattori (2FA) aggiunge un passaggio alla password, mentre una chiave di accesso (passkey) la sostituisce completamente. Una volta compresa questa differenza, il resto è chiaro. La 2FA si basa comunque su un segreto conoscibile che può essere divulgato. Una chiave di accesso, invece, non ha alcun segreto condiviso che possa essere compromesso.
Questa singola modifica ha un effetto a catena su tutto il resto, dalla resistenza al phishing alla velocità di accesso. I provider che implementano le password registrano accessi significativamente più rapidi e con maggiore successo rispetto a una password abbinata a un codice SMS, perché non c'è nulla da digitare e nulla da attendere. La tabella seguente illustra le principali differenze.
| Ciò che conta | Autenticazione a due fattori (password + SMS/TOTP) | Chiave di sicurezza |
|---|---|---|
| Sostituisce la password | No, lo aggiunge | SÌ |
| Resistente al phishing | No (i codici possono essere inoltrati) | Sì (collegato al dominio reale) |
| Esposto allo scambio di SIM | Sì, con SMS | NO |
| Segreto condiviso da rubare | SÌ | NO |
| Velocità di accesso | Più lento (digita un codice) | Più veloce (tocca o scansiona) |
| Recupero del dispositivo in caso di smarrimento | Codici di backup / SMS | Chiave di sincronizzazione o di backup |
Una password è di per sé una forma di autenticazione a due fattori (2FA) o a più fattori (MFA)?
Ecco la sottigliezza che spesso confonde le persone. Quando si sblocca una password, due verifiche avvengono nello stesso istante. Si dimostra di avere in mano il dispositivo che memorizza la chiave privata e l'impronta digitale o la scansione del volto confermano che il dispositivo è effettivamente nelle proprie mani. Si tratta di due fattori in un unico gesto, il che rende la password un sistema di autenticazione a più fattori. Se si aggiunge l'autenticazione a due fattori tradizionale, si ottiene principalmente un secondo controllo, non un ulteriore ostacolo.
Ecco perché l' Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) considera le smart card FIDO2/WebAuthn e PKI come sistemi di autenticazione a più fattori (MFA) realmente resistenti al phishing. Una password non è la versione più debole di un secondo fattore; è un sistema di autenticazione a più fattori per sua stessa natura, integrato in un unico passaggio.
Perché il phishing viola l'autenticazione a due fattori ma non le password
Il phishing è l'attacco che decide l'intera questione. Il Data Breach Investigations Report 2025 di Verizon ha rilevato che le credenziali rubate sono alla base del 22% delle violazioni e il phishing di un ulteriore 16%, quindi non si tratta di exploit insoliti, ma della porta d'accesso principale utilizzata dalla maggior parte degli intrusi.
Immaginate la solita trappola. Un'email vi avvisa che il vostro account è bloccato, cliccate su una pagina che sembra identica al vostro account Exchange e, diligentemente, digitate la password e il codice a sei cifre della vostra app di autenticazione. Sul sito originale, quel codice non creerebbe problemi. Sulla copia pirata, invece, il malintenzionato lo copia e lo riutilizza per accedere al vostro account autentico in pochi secondi, e il secondo fattore di autenticazione, di cui vi fidavate, gli ha appena permesso di entrare. È proprio questo l'aspetto che viene sottovalutato. L'autenticazione a due fattori richiede comunque a una persona di fornire qualcosa, e una persona può essere convinta di quasi tutto. Una chiave privata non fornisce nulla. La chiave privata non può essere digitata, letta ad alta voce o incollata in un modulo falso, e funziona solo sul dominio specifico in cui è stata creata, quindi la pagina contraffatta non ha nulla da raccogliere e nulla da riutilizzare.
Scambio di SIM e problema del codice SMS
Gli SMS rappresentano il punto debole dell'autenticazione a due fattori (2FA). In un caso di SIM swap , un malintenzionato convince il tuo operatore telefonico a trasferire il tuo numero sul proprio telefono, e tutti i codici a te destinati finiscono sul suo schermo. L' Internet Crime Complaint Center dell'FBI ha registrato 982 denunce di SIM swap nel suo rapporto del 2024, con perdite per quasi 26 milioni di dollari, e questi sono solo i casi che sono stati effettivamente denunciati. I messaggi SMS possono anche essere intercettati direttamente a causa di falle nel vecchio protocollo di telecomunicazione SS7, il che ti lascia con la scomoda verità che qualsiasi codice che viaggia sulla rete telefonica è un codice che qualcun altro può reindirizzare silenziosamente.
Phishing OTP e stanchezza da autenticazione a più fattori
Nemmeno un'app di autenticazione è immune, poiché gli aggressori gestiscono siti relay in tempo reale che si interpongono tra te e il login reale, catturando il tuo TOTP e riproducendolo entro i 30 secondi di validità. L'autenticazione a due fattori basata su notifiche push ha una sua specifica modalità di fallimento, nota come "affaticamento da MFA", in cui un aggressore invia ripetutamente richieste di approvazione finché un utente esausto non preme finalmente il pulsante di approvazione solo per far cessare il ronzio. Nessuno di questi stratagemmi funziona con una password, poiché non c'è alcun codice da intercettare e nessuna richiesta che possa essere approvata per errore.
Utilizza le password sugli exchange e sui portafogli di criptovalute.
È qui che il confronto tra password e autenticazione a due fattori (2FA) smette di essere puramente accademico e dove la maggior parte delle guide generaliste si ferma. Una banca può annullare un addebito fraudolento. Una blockchain no. Quando un malintenzionato si introduce nel tuo account di scambio tramite SIM swapping e preleva il tuo saldo, la transazione è definitiva. Il rapporto dell'FBI del 2025 sui crimini informatici ha registrato perdite totali per 20,9 miliardi di dollari, di cui circa 11,4 miliardi legati alle frodi in criptovalute, e il furto di identità degli account rappresenta una componente costante di questo fenomeno.
Le principali piattaforme di scambio, tra cui Coinbase, Binance e Kraken, ora consentono di proteggere l'accesso con una password. Attivando questa funzione, si elimina il codice SMS, spesso utilizzato dai criminali informatici per lo scambio di SIM, e lo si sostituisce con una chiave che un malintenzionato non può ottenere tramite phishing da un altro Paese.
C'è una distinzione fondamentale, perché è facile fraintenderla. Una passkey protegge l'accesso al tuo conto di custodia su un exchange. Non è la stessa cosa della chiave privata o della frase di recupero del tuo wallet personale e non le sostituisce. Se detieni le tue criptovalute, la frase di recupero rimane la chiave principale per accedere ai tuoi fondi; una passkey protegge l'accesso all'exchange, non il tuo caveau personale. Capire bene questo concetto è la differenza tra una reale sicurezza del conto e una falsa percezione di essa.
Una password si integra perfettamente con i controlli già offerti dall'exchange. Attivala per l'accesso e aggiungi una lista di indirizzi consentiti per i prelievi, in modo che nemmeno una sessione compromessa possa inviare fondi a un portafoglio sconosciuto senza un periodo di attesa. La password blocca l'intrusione; la lista di indirizzi consentiti limita i danni in caso di ulteriori tentativi di accesso non autorizzati. Utilizzate insieme, password e autenticazione a due fattori (2FA) migliorano la sicurezza in misura molto maggiore rispetto a ciascuna opzione singolarmente, e il tuo account smetterà di dipendere da un codice che può essere facilmente trasmesso via etere al telefono di uno sconosciuto.
Quando hai ancora bisogno dell'autenticazione a due fattori tradizionale
Le password predefinite non sono ancora diffuse ovunque e la scelta tra password predefinite e autenticazione a due fattori (2FA) spesso dipende da ciò che un determinato servizio supporta, quindi non eliminate il secondo fattore fin da subito. La FIDO Alliance stima che nel 2025 ci siano oltre 15 miliardi di account compatibili con le password predefinite, tuttavia la copertura sui siti più piccoli rimane discontinua e molti dei servizi su cui fate affidamento offrono ancora solo password e codice. Per questi, mantenete la 2FA e scegliete semplicemente la versione migliore, un'app di autenticazione invece degli SMS. Il recupero dati è un altro ambito in cui la 2FA si rivela utile. Se perdete il dispositivo che contiene la password predefinita, un fattore di backup o un set di codici di recupero salvati vi permetteranno di accedere nuovamente. Una configurazione intelligente utilizza entrambi i metodi: password predefinite dove possibile, 2FA tramite app dove non è possibile e un piano di recupero che funge da riserva.
C'è anche un costo di transizione da considerare. Finché un sito non supporta le chiavi di accesso, si è costretti a utilizzare l'opzione più sicura disponibile, e per molti servizi questo significa ancora una semplice app di autenticazione. Consideratela una soluzione temporanea, non definitiva, e rivedete i vostri account più importanti ogni pochi mesi, perché il supporto per le chiavi di accesso è in continua espansione e l'account che non potevate proteggere la scorsa primavera potrebbe ora offrirlo.
Come passare dall'autenticazione a due fattori (2FA) alle chiavi di accesso (passkeys)
Il passaggio a un nuovo sistema è un percorso graduale, non un salto nel vuoto, e la regola fondamentale è non cancellare mai il percorso di ripristino durante la transizione. Ecco un ordine sensato:
1. Sostituisci gli SMS con un'app di autenticazione su ogni account che utilizza ancora i codici. Questo da solo elimina il rischio di furto di identità tramite SIM swapping.
2. Aggiungi una password ovunque sia disponibile, solitamente nelle impostazioni di sicurezza dell'account o di accesso.
3. Memorizza la chiave di accesso in un gestore di password sincronizzato o su una chiave di sicurezza hardware, a seconda del livello di sicurezza fisica desiderato.
4. Mantieni un metodo di autenticazione di backup e salva i codici di ripristino in un luogo offline.
5. Rimuovi gli SMS come fattore di autenticazione solo dopo che la password ti ha permesso di accedere correttamente.
Iniziate dagli account che contengono denaro o dati personali: la vostra email (la chiave principale per reimpostare la password), il vostro account Exchange, il vostro gestore di password. Procedete poi verso il basso. L'intera migrazione può richiedere un pomeriggio, e gran parte del tempo è impiegato nell'attesa del caricamento delle pagine.
Il verdetto: password, autenticazione a due fattori o entrambi?
Nel dibattito tra password e autenticazione a due fattori (2FA), le password vincono quando si tratta di attacchi che svuotano effettivamente gli account. Il phishing e lo scambio di SIM aggirano i codici SMS e spesso anche quelli delle app, ma si scontrano con le password. Utilizzate le password ovunque siano disponibili, consideratele l'impostazione predefinita su qualsiasi exchange di criptovalute e tenete l'autenticazione a due fattori tramite app come soluzione di ripiego per tutto ciò che non è ancora aggiornato. La vera domanda non è di quale sistema fidarsi, ma quanto velocemente potete trasferire i dati degli account più importanti. Quale sistema cambierete per primo?
