La password da sola non basta piu'. La MFA aggiunge un secondo livello di verifica — ma anche lei ha i suoi punti deboli. Ecco cosa devi sapere.
La MFA (Multi-Factor Authentication), chiamata anche autenticazione a due fattori (2FA), e' un metodo di sicurezza che richiede almeno due prove di identita' diverse per accedere a un account. Invece di fidarsi solo della password, il sistema chiede una seconda conferma.
Il principio e' semplice: combinare qualcosa che sai (la password) con qualcosa che hai (il telefono, una chiave hardware) o qualcosa che sei(impronta digitale, riconoscimento facciale). Anche se un attaccante ruba la tua password, senza il secondo fattore non puo' entrare.
La MFA e' oggi considerata una misura di sicurezza essenziale. Microsoft stima che il 99,9% degli attacchi agli account viene bloccato semplicemente attivando la MFA. Eppure, molte aziende italiane non la usano ancora.
Ricevi un codice via SMS o telefonata. E' il metodo piu' diffuso ma anche il meno sicuro: gli SMS possono essere intercettati con attacchi SIM swap, e il codice puo' essere rubato con phishing in tempo reale.
Un'app sul telefono genera codici temporanei (Time-based One-Time Password) che cambiano ogni 30 secondi. Non dipende dalla rete cellulare e non e' vulnerabile al SIM swap. Piu' sicura degli SMS.
App come Microsoft Authenticator inviano una notifica push: basta approvare con un tap. Comoda ma vulnerabile al "push fatigue" — un attaccante invia decine di notifiche finche' l'utente ne approva una per sfinimento.
Una chiave USB fisica che devi inserire nel computer per autenticarti. Resistente al phishing perche' la chiave verifica crittograficamente il dominio del sito. Il metodo piu' sicuro disponibile oggi.
La MFA e' fondamentale, ma non e' invulnerabile. Gli attaccanti hanno sviluppato tecniche specifiche per aggirarla, e molte di queste passano dall'email:
L'attaccante crea una copia identica della pagina di login che si interpone tra te e il sito reale. Quando inserisci password e codice MFA, il proxy li cattura entrambi e li usa istantaneamente. Strumenti come EvilProxy e Evilginx rendono questo tipo di attacco accessibile a chiunque.
Dopo che ti sei autenticato con la MFA, il browser riceve un cookie di sessione. Se un malware ruba quel cookie, l'attaccante puo' accedere al tuo account senza bisogno ne' di password ne' di MFA.
L'attaccante chiama fingendosi il supporto IT: "Abbiamo rilevato un accesso anomalo, mi servono il suo nome utente e il codice che le arriva adesso per verificare la sua identita'". E il dipendente glielo da.
La lezione:la MFA protegge dall'attacco piu' comune (password rubata o indovinata), ma non ti salva se l'email di phishing che ti porta sulla pagina proxy arriva nella tua inbox. Per questo MFA e antispam lavorano meglio insieme.
La MFA protegge l'accesso. MailSniper protegge la porta d'ingresso — l'email. Insieme, creano una difesa a due livelli che copre sia l'identita' che il canale di attacco:
MailSniper rileva e blocca le email che ti indirizzano verso pagine di login false progettate per catturare sia la password che il codice MFA. L'attacco AiTM non funziona se l'email non arriva.
I link vengono analizzati al momento del click. Anche se la pagina proxy viene creata dopo l'invio dell'email, MailSniper la identifica e blocca l'accesso.
L'AI semantica riconosce le email che tentano di farti rivelare il codice MFA a voce o via email, bloccando l'ingegneria sociale sul secondo fattore.
MailSniper rileva le email che cercano di rubare le tue credenziali (il primo fattore), rendendo la MFA ancora piu' efficace come barriera secondaria.