2FA e MFA: differenza, metodi e come scegliere il secondo fattore giusto

26 maggio 2026 8 min di lettura

2FA e MFA spiegate: differenza, metodi di autenticazione, limiti di SMS, TOTP, push, passkey e chiavi hardware, e consigli per proteggere gli account critici.

2FA e MFA: differenza, metodi e come scegliere il secondo fattore giusto
Guarda il video collegato
Sicurezza Informatica Sviluppo web

2FA e MFA sono due sigle che compaiono ovunque quando si parla di sicurezza degli account, login e protezione delle credenziali. Spesso vengono usate come sinonimi, ma non indicano esattamente la stessa cosa.

La 2FA, cioè Two-Factor Authentication, è l’autenticazione a due fattori. La MFA, cioè Multi-Factor Authentication, è l’autenticazione multifattore e può usare due o più fattori.

La differenza sembra piccola, ma è importante: non basta attivare “un codice” per essere davvero protetti. Bisogna capire quale secondo fattore si sta usando, quanto resiste al phishing, come funziona il recupero account e quali servizi meritano una protezione più forte.

In questa guida vediamo la differenza tra 2FA e MFA, i principali metodi disponibili, i limiti di SMS, email, TOTP, notifiche push, passkey e chiavi hardware, e una strategia pratica per proteggere account personali, professionali e infrastrutturali.

2FA e MFA: qual è la differenza?

La differenza tra 2FA e MFA è questa:

  • 2FA significa autenticazione con due fattori;
  • MFA significa autenticazione con due o più fattori.

Nella pratica quotidiana molti servizi usano i due termini quasi come sinonimi. Quando un sito dice “attiva la 2FA”, spesso intende semplicemente “aggiungi un secondo passaggio oltre alla password”.

Dal punto di vista concettuale, però, la distinzione aiuta a ragionare meglio: la sicurezza non dipende solo dal numero di passaggi, ma dal tipo di fattori usati e dalla loro resistenza agli attacchi reali.

Che cos’è un fattore di autenticazione

Un fattore di autenticazione è un modo per dimostrare la propria identità. Le categorie classiche sono tre:

  • qualcosa che sai;
  • qualcosa che hai;
  • qualcosa che sei.

Qualcosa che sai è una password, un PIN o una frase segreta. Qualcosa che hai è un telefono, una chiave hardware, una smart card o un’app di autenticazione. Qualcosa che sei riguarda la biometria: impronta digitale, volto, iride o voce.

L’idea dell’autenticazione multifattore è combinare fattori diversi. Se un attaccante scopre la password, non dovrebbe poter entrare senza avere anche il secondo fattore.

Il punto non è rendere impossibile ogni attacco. Il punto è alzare il costo dell’attacco e ridurre il rischio che una password rubata basti per compromettere un account.

Non tutti i secondi fattori sono uguali

Quando un servizio dice “supportiamo la 2FA”, la domanda corretta è: quale 2FA?

SMS, email, app TOTP, notifiche push, passkey e chiavi hardware non offrono lo stesso livello di protezione. Sono tutti metodi utili in contesti diversi, ma non hanno la stessa robustezza.

Metodo Vantaggi Limiti principali Quando usarlo
SMS Facile da capire, disponibile quasi ovunque SIM swapping, dipendenza dal numero, ritardi, malware sul telefono Meglio della sola password, ma non ideale per account critici
Email Comoda, non richiede app aggiuntive Se l’email è compromessa, diventa un punto debole enorme Solo se l’email principale è molto ben protetta
TOTP Codici generati localmente, non dipende dalla rete telefonica Può essere phishato in tempo reale Buona scelta generale per molti account
Push Esperienza rapida e comoda Rischio di MFA fatigue e approvazioni distratte Utile se accompagnato da controlli chiari
Passkey Resistente al phishing, legata al dominio corretto Dipende dal supporto del servizio e dalla gestione dei dispositivi Ottima scelta per account importanti
Chiave hardware Molto robusta, adatta ad account ad alto rischio Richiede gestione fisica e procedure di recupero Ideale per amministratori, cloud, DNS, repository e account critici

Gli SMS sono meglio della sola password, ma hanno limiti importanti: dipendono dal numero telefonico, possono arrivare in ritardo, possono essere esposti a SIM swapping e possono essere letti da malware sul dispositivo.

Il codice via email è comodo, ma se l’email principale è compromessa diventa un punto debole enorme. Inoltre molti account usano proprio l’email per il recupero password: per questo l’account email va trattato come un account critico.

TOTP, come abbiamo visto nell’episodio precedente, è spesso più robusto degli SMS. Non dipende dalla rete telefonica e genera codici localmente. Però può essere phishato in tempo reale: se inserisci password e codice in una pagina falsa, l’attaccante può provare a usarli subito sul sito vero.

Le notifiche push sono comode, ma possono causare MFA fatigue: l’utente riceve richieste ripetute e finisce per approvare quella sbagliata per stanchezza o distrazione.

Passkey e chiavi hardware moderne possono essere più resistenti al phishing perché legano l’autenticazione al dominio corretto. Se sei su un sito falso, la credenziale non viene usata nello stesso modo.

Un esempio pratico con TOTP

Nel video precedente abbiamo usato oathtool per generare un codice TOTP:

SECRET="JBSWY3DPEHPK3PXP"
oathtool --totp -b "$SECRET"

Il risultato è un codice numerico che puoi leggere e copiare. Questo spiega sia la comodità sia il limite del TOTP: se lo copi nella pagina sbagliata, il codice può essere riusato per pochi secondi.

Con passkey e chiavi hardware il modello è diverso: non c’è un codice da trascrivere. Il dispositivo usa una chiave crittografica associata al servizio e al dominio.

Passkey, chiavi hardware e biometria: cosa vede davvero il sito?

Quando sblocchi il telefono con il volto o con l’impronta per accedere a un servizio, potresti pensare che il sito riceva la tua faccia o il tuo dito.

Nella maggior parte dei sistemi moderni non funziona così. La biometria resta locale e serve ad autorizzare l’uso di una credenziale. Il sito riceve una prova crittografica, non la tua impronta digitale.

Questa distinzione è importante: evita paure sbagliate, ma anche fiducia eccessiva.

Una passkey sbloccata con biometria non significa che il sito “vede la tua faccia”. Significa che il dispositivo autorizza localmente l’uso di una chiave crittografica collegata a quel servizio.

Come scegliere il secondo fattore giusto

La scelta del secondo fattore dovrebbe dipendere dal rischio dell’account. Non tutti gli account meritano la stessa complessità, ma gli account critici non dovrebbero essere protetti con il minimo indispensabile.

Per un utente normale, una buona strategia è:

  • usare un password manager;
  • generare password uniche per ogni servizio;
  • attivare MFA sugli account importanti;
  • preferire TOTP, passkey o chiavi hardware agli SMS quando possibile;
  • salvare i codici di recupero in modo sicuro;
  • controllare il dominio prima di inserire credenziali;
  • proteggere l’email principale come account critico.

Per sviluppatori e amministratori, la lista si allarga: MFA obbligatoria su repository Git, cloud provider, pannelli DNS, hosting, CI/CD e account amministrativi; revoca dei token inutilizzati; audit periodico degli accessi; attenzione alle integrazioni di terze parti.

Account diversi, rischi diversi

Non tutti gli account hanno lo stesso valore.

Per forum, newsletter e servizi secondari, una password unica generata dal password manager è già un buon passo. Se c’è MFA, meglio attivarla.

Per email principale, cloud personale, banca, identità digitale e social, MFA dovrebbe essere la norma. Meglio evitare SMS come prima scelta quando sono disponibili TOTP, passkey o chiavi hardware.

Per repository di codice, cloud provider, pannelli DNS, hosting e strumenti amministrativi, la MFA deve essere obbligatoria, documentata e accompagnata da procedure di recupero serie.

La sicurezza deve essere proporzionata: troppo complessa per tutto diventa ingestibile, troppo debole sugli account critici lascia scoperto il punto più importante.

Recupero account e autorizzazioni

Molti sistemi sono forti nel login quotidiano ma deboli nel recupero account. Puoi avere MFA attiva, ma se basta una domanda banale o una procedura di supporto fragile per disattivarla, l’attaccante cercherà quella strada.

Bisogna chiedersi: come si resetta una password? Come si cambia numero di telefono? Come si aggiunge un nuovo dispositivo? Chi può rimuovere MFA? Chi può approvare queste operazioni in azienda?

Inoltre non bisogna confondere autenticazione e autorizzazione. L’autenticazione dimostra chi sei. L’autorizzazione decide cosa puoi fare.

MFA protegge il login, ma se tutti gli utenti sono amministratori, hai ancora un problema. Un account ben protetto ma troppo potente può causare danni enormi se compromesso.

Per questo 2FA e MFA vanno affiancate al principio del minimo privilegio: ogni utente, token API o chiave di deploy dovrebbe avere solo i permessi necessari.

FAQ su 2FA e MFA

2FA e MFA sono la stessa cosa?

Non esattamente. 2FA indica l’uso di due fattori di autenticazione. MFA indica l’uso di due o più fattori. Nella pratica molti servizi usano i termini in modo intercambiabile, ma la differenza tecnica resta utile.

Qual è il secondo fattore più sicuro?

Dipende dal contesto, ma per account critici passkey e chiavi hardware sono spesso preferibili perché possono offrire maggiore resistenza al phishing. TOTP resta una buona scelta generale. SMS è meglio della sola password, ma non dovrebbe essere la prima scelta per account importanti.

TOTP è sicuro?

TOTP è più robusto degli SMS in molti scenari, perché genera codici localmente e non dipende dalla rete telefonica. Il limite principale è che il codice può essere inserito su una pagina falsa e usato rapidamente da un attaccante.

Le passkey inviano la biometria al sito?

No, nei sistemi moderni la biometria di solito resta sul dispositivo. Il sito riceve una prova crittografica, non la tua impronta digitale o il tuo volto.

Basta attivare MFA per essere al sicuro?

No. MFA è un livello di protezione, non una garanzia assoluta. Servono anche password uniche, procedure di recupero sicure, controllo dei privilegi, revoca degli accessi inutilizzati e attenzione al phishing.

Conclusione

2FA e MFA non sono solo sigle da attivare nelle impostazioni. Sono decisioni di sicurezza.

Non chiederti solo: “Ho attivato il codice?”. Chiediti: cosa sto proteggendo? Quale secondo fattore sto usando? Resiste al phishing? Come recupero l’account se perdo il dispositivo? Chi può disattivare questa protezione?

Nel prossimo episodio chiudiamo la serie guardando il lato server: le web shell, cioè cosa può succedere quando una debolezza applicativa o una configurazione sbagliata permette a qualcuno di depositare controllo direttamente dentro un sito.