Attacchi alle password e MFA
Come si rubano le credenziali e perché l’autenticazione a più fattori cambia davvero la difesa, se usata con attenzione.
Obiettivi e quadro pratico
Al termine di questo modulo, il partecipante sarà in grado di:
- 01
riconoscere i principali modi con cui una password può essere attaccata o rubata.
- 02
distinguere forza bruta, dizionario, credential stuffing e password spraying.
- 03
capire perché phishing, keylogger e database violati restano rischi molto concreti.
- 04
spiegare in modo semplice 2FA, MFA e differenza tra fattori di autenticazione.
- 05
valutare vantaggi e limiti di SMS, app, notifiche push, chiavi fisiche e biometria.
- 06
gestire cambio telefono, codici di backup e notifiche sospette senza improvvisare.
5.1 Perché è importante capire come vengono attaccate le password
Nel modulo precedente abbiamo visto come creare, gestire e conservare password in modo più sicuro. Per capire davvero il senso di quelle regole, però, bisogna guardare anche il punto di vista dell’attaccante. Le password possono essere indovinate, provate automaticamente, rubate con l’inganno, registrate da un dispositivo compromesso o esposte quando un servizio subisce una violazione.
Non sempre il problema nasce da una password troppo semplice. Anche una password robusta può diventare inutile se viene inserita in una pagina falsa, salvata su un dispositivo infetto, riutilizzata su un servizio violato o recuperata attraverso un metodo di recupero debole.
Per questo la protezione degli account non deve basarsi su un solo elemento. Servono password lunghe e uniche, niente riutilizzo, MFA sugli account importanti, attenzione ai link, dispositivi protetti, controllo delle sessioni e reazione rapida quando qualcosa non torna.
La domanda giusta non è solo “la mia password è forte?”. È anche: “dove la uso, dove la conservo, chi potrebbe rubarla e cosa succede se qualcuno la scopre?”.
5.1.1 Attacco a forza bruta
Un attacco a forza bruta consiste nel provare molte combinazioni possibili fino a trovare quella corretta. L’idea è semplice: più una password è corta e prevedibile, meno combinazioni servono per provarla. Gli strumenti automatici possono testare grandi quantità di possibilità, soprattutto quando l’attacco avviene su dati rubati e non direttamente sul sito originale.
Una password di pochi caratteri, composta solo da numeri o da una parola breve, offre meno resistenza di una password lunga. Per questo la lunghezza è una difesa concreta: aumenta lo spazio di ricerca e rende meno praticabile il tentativo automatico.
La difesa passa da password lunghe, non numeriche, non banali, uniche per ogni servizio e generate da un password manager quando possibile. Sugli account importanti va aggiunta la MFA, così il furto o la scoperta della password non basta da solo.
Password corte nel gestionale
Un gestionale aziendale consente password molto corte e non blocca temporaneamente l’account dopo tentativi ripetuti. Questo aumenta il rischio. La risposta corretta è introdurre regole minime, MFA e controlli sui tentativi falliti.
5.1.2 Attacco a dizionario
Un attacco a dizionario non prova combinazioni casuali, ma parole comuni, nomi, città, squadre, stagioni, anni, frasi frequenti, password già rubate e varianti prevedibili con numeri o simboli. È efficace perché molte persone scelgono password facili da ricordare e legate alla propria vita.
Una parola comune seguita da un anno può sembrare più sicura di una parola semplice, ma spesso segue uno schema molto diffuso. Anche sostituzioni come “a” con “@” o “o” con “0” non bastano: sono trasformazioni note e provate automaticamente.
Per difendersi bisogna evitare parole comuni, informazioni personali, frasi famose, citazioni e variazioni prevedibili. Una passphrase può funzionare solo se lunga e non ovvia; per molti account è meglio una password casuale generata dal password manager.
Usare il nome di una persona, di un animale o dell’azienda con l’anno corrente. Se quell’informazione è pubblica o intuibile, la password è molto meno privata di quanto sembri.
5.1.3 Credential stuffing
Il credential stuffing usa credenziali rubate da un servizio per tentare l’accesso ad altri servizi. Funziona perché molte persone riutilizzano la stessa password su più siti. L’attaccante non deve indovinare nulla: usa una combinazione email/password già comparsa in una violazione.
Il problema può partire da un sito secondario, magari vecchio o poco importante. Se lì era stata usata la stessa password dell’email, del cloud o del portale aziendale, l’impatto si sposta immediatamente su account molto più critici.
La difesa è una password diversa per ogni servizio. Se una password è duplicata, va cambiata partendo dagli account più importanti. Il password manager aiuta a evitare riutilizzi, mentre la MFA riduce il rischio quando una credenziale finisce fuori controllo.
Un vecchio account dimenticato può diventare il punto di partenza di un attacco attuale, soprattutto se conserva una password riutilizzata altrove.
5.1.4 Password spraying
Nel password spraying l’attaccante prova poche password molto comuni su molti account diversi. A differenza della forza bruta, non concentra migliaia di tentativi su una sola persona: distribuisce pochi tentativi su tanti utenti, cercando l’account che usa una password prevedibile.
Questo metodo può aggirare alcuni blocchi automatici perché ogni singolo account riceve pochi tentativi. È particolarmente pericoloso nelle aziende quando esistono password iniziali standard, password temporanee uguali per tutti o credenziali deboli mai cambiate.
La difesa richiede password non comuni, MFA, monitoraggio dei tentativi sospetti, cambio obbligatorio delle password temporanee, formazione degli utenti e divieto di password standard condivise.
Password temporanea condivisa
Un’azienda crea nuovi account con una password temporanea uguale per tutti. Se alcuni dipendenti non la cambiano, un attaccante che la scopre può provarla su molti account.
5.1.5 Phishing delle credenziali
Il phishing delle credenziali è uno dei modi più comuni per rubare password. L’attaccante invia un messaggio falso che spinge la persona a cliccare un link e inserire username e password in una pagina simile a quella reale. Può imitare banca, email, cloud, corriere, social, gestionale, portale fatture, fornitore, ente pubblico o piattaforma di pagamento.
Il messaggio crea spesso urgenza: account sospeso, accesso sospetto, documento condiviso, pagamento non riuscito, fattura disponibile, dati da confermare. Anche una password robusta può essere rubata se viene digitata volontariamente in una pagina falsa.
La difesa è rallentare. Non inserire password dopo link ricevuti via email, SMS o chat; aprire manualmente il sito ufficiale; usare preferiti per servizi importanti; controllare il dominio; non fidarsi solo di logo e grafica; non comunicare mai codici OTP; segnalare messaggi sospetti in azienda.
Pagina cloud falsa
Una falsa pagina cloud aziendale è identica a quella reale, ma il dominio ha una piccola differenza. Se la persona inserisce le credenziali, l’attaccante può usarle subito sul servizio vero.
5.1.6 Keylogger
Un keylogger è uno strumento che registra ciò che viene digitato sulla tastiera. Può essere un software malevolo, una funzione nascosta in un malware o, in casi particolari, un dispositivo fisico collegato alla postazione. Se una persona digita username, password o codici su un dispositivo compromesso, quelle informazioni possono essere catturate.
Un keylogger può arrivare tramite allegati malevoli, software pirata, falsi aggiornamenti, programmi scaricati da fonti non ufficiali, estensioni browser dannose, computer condivisi o sistemi già compromessi.
La difesa consiste nel non installare software pirata, scaricare programmi solo da fonti ufficiali, aggiornare sistema e applicazioni, usare protezioni antimalware, evitare allegati inattesi e non fare accessi importanti da dispositivi non affidabili. Se si sospetta un’infezione, la password va cambiata da un dispositivo sicuro.
Cambiare password da un computer compromesso può non risolvere nulla: la nuova password potrebbe essere registrata di nuovo.
5.1.7 Furto di database
A volte le password vengono compromesse perché un servizio online subisce una violazione e perde dati degli utenti. In quel momento l’utente può non aver fatto nulla di sbagliato: il problema avviene presso il servizio che conservava le credenziali.
Le conseguenze dipendono però dalle scelte fatte prima. Se la password era unica, il danno resta più limitato. Se era riutilizzata, può essere provata su altri account. Se era attiva la MFA, l’attaccante potrebbe comunque essere bloccato. Se l’utente ignora l’avviso di violazione, il rischio resta aperto.
Bisogna reagire agli avvisi di sicurezza cambiando la password coinvolta, controllando eventuali duplicati, verificando sessioni attive e attivando MFA sugli account importanti.
Vecchio servizio violato
Un servizio usato anni prima viene violato. La persona non lo usa più, ma aveva riutilizzato la stessa password per l’email principale. La violazione di un vecchio servizio diventa un rischio attuale.
5.2 Perché la password da sola non basta sempre
Una password lunga, unica e ben conservata è una difesa importante, ma non copre tutti gli scenari. Può essere inserita in un sito falso, registrata da un keylogger, vista da qualcuno, salvata in un posto insicuro, rubata da un dispositivo infetto o aggirata attraverso un recupero account debole.
Per questo gli account importanti devono avere un secondo livello di protezione. L’autenticazione a due fattori o a più fattori riduce il rischio perché richiede qualcosa in più rispetto alla sola password.
La MFA non sostituisce una password buona e non autorizza comportamenti distratti. Aggiunge un livello che può bloccare molti accessi non autorizzati quando la password è stata rubata o indovinata.
Attiva MFA almeno su email principale, email aziendale, password manager, home banking, cloud, gestionali, account amministrativi e servizi usati per recuperare altri account.
5.2.1 Che cos’è l’autenticazione a due fattori
L’autenticazione a due fattori, spesso indicata come 2FA, richiede due elementi diversi per accedere a un account. Il primo è di solito la password. Il secondo può essere un codice generato da un’app, un codice ricevuto via SMS, una notifica push, una chiave fisica o un elemento biometrico.
L’idea è semplice: se qualcuno ruba la password, non dovrebbe riuscire ad accedere senza il secondo fattore. Questo riduce molto il rischio, soprattutto sugli account che contengono dati importanti o permettono di recuperare altri servizi.
La 2FA non rende invulnerabili. Se la persona comunica il codice a un falso operatore o approva una richiesta non iniziata da lei, il secondo fattore può essere aggirato con l’inganno. Per questo tecnologia e comportamento devono lavorare insieme.
MFA che blocca l’accesso
Un attaccante conosce la password dell’email, ma il servizio chiede anche un codice dall’app di autenticazione. Senza quel codice, l’accesso resta bloccato.
5.2.2 Che cos’è la MFA
MFA significa autenticazione a più fattori. È un concetto più ampio della 2FA: può usare due o più elementi appartenenti a categorie diverse. Le categorie principali sono qualcosa che sai, qualcosa che hai e qualcosa che sei.
Qualcosa che sai è un’informazione, come password, PIN o risposta a una domanda di sicurezza. Qualcosa che hai è un oggetto o dispositivo, come smartphone, app di autenticazione, chiave fisica, token, SIM o codice di backup. Qualcosa che sei è una caratteristica biometrica, come impronta digitale o riconoscimento facciale.
Un accesso è più forte quando combina fattori diversi. Password più app di autenticazione è più solida della sola password; password più chiave fisica può essere ancora più robusta su account molto critici.
Due passaggi non sono automaticamente due fattori diversi. Una password e una domanda di sicurezza sono entrambe “qualcosa che sai”; la protezione migliora davvero quando i fattori sono di natura diversa.
5.2.3 Codici via SMS
Il codice via SMS è uno dei metodi più conosciuti per la 2FA. Dopo la password, il servizio invia un codice temporaneo al numero di telefono dell’utente. È semplice, diffuso e meglio della sola password, soprattutto quando l’alternativa sarebbe non avere nessun secondo fattore.
Ha però limiti importanti. Gli SMS possono essere intercettati in alcuni scenari, il numero può essere oggetto di truffe o sostituzione SIM, i codici possono essere rubati con phishing e alcune persone li comunicano a falsi operatori al telefono.
Per account importanti, quando possibile, è preferibile usare app di autenticazione o chiavi fisiche. Se l’SMS è l’unica opzione disponibile, va comunque attivato e usato con attenzione.
Nessun supporto serio dovrebbe chiederti di comunicare un codice SMS, OTP o MFA. Se qualcuno lo chiede, è un segnale di rischio.
5.2.4 App di autenticazione
Le app di autenticazione generano codici temporanei direttamente sullo smartphone. Questi codici cambiano dopo pochi secondi e funzionano spesso anche senza ricevere SMS. Sono supportate da molti servizi: email, cloud, social, password manager, gestionali e pannelli amministrativi.
In molti scenari sono più robuste degli SMS perché non dipendono dalla ricezione del messaggio telefonico. Restano però legate allo smartphone: se il telefono viene perso, sostituito o cancellato senza preparazione, l’utente può restare fuori dagli account.
Per usarle bene bisogna proteggere lo smartphone, conservare i codici di backup, sapere come trasferire l’app su un nuovo dispositivo e non comunicare mai i codici a terzi.
Cambio telefono senza codici di backup
Una persona cambia telefono senza salvare codici di backup e senza trasferire l’app di autenticazione. Può restare bloccata fuori da email, cloud e password manager.
5.2.5 Notifiche push
Alcuni servizi usano notifiche push: quando qualcuno tenta l’accesso, arriva una richiesta sullo smartphone e l’utente deve approvare o rifiutare. È un metodo comodo perché non richiede di copiare codici e può mostrare informazioni sull’accesso.
Il rischio principale è approvare per errore o per abitudine. Se un attaccante ha la password, può tentare l’accesso e generare notifiche ripetute. Una persona stanca, distratta o sotto pressione potrebbe approvarne una senza leggere.
Le notifiche vanno approvate solo se l’accesso è stato avviato personalmente. Se arriva una richiesta inattesa, bisogna rifiutare, controllare l’account, cambiare password se necessario e segnalare il fatto se l’account è aziendale.
“Mi è arrivata una notifica, quindi devo approvarla.” No: una notifica inattesa può significare che qualcuno conosce la password e sta tentando di entrare.
5.2.6 Chiavi fisiche di sicurezza
Le chiavi fisiche di sicurezza sono dispositivi hardware usati come secondo fattore. Possono collegarsi via USB, NFC o altri metodi. Sono molto robuste, aiutano a proteggere contro molti attacchi di phishing e richiedono il possesso fisico della chiave.
Sono particolarmente utili per account amministrativi, email aziendali critiche, password manager, account cloud, social aziendali importanti e persone con accesso a dati sensibili o sistemi critici.
Hanno però un costo, richiedono custodia attenta, non sono supportate da tutti i servizi e andrebbero accompagnate da una chiave di backup. Per utenti non tecnici può servire una breve formazione iniziale.
Per gli account più critici, valuta sempre un secondo fattore resistente al phishing, come una chiave fisica, quando il servizio lo supporta.
5.2.7 Biometria
La biometria usa una caratteristica fisica della persona, come impronta digitale o riconoscimento facciale. È molto comune su smartphone e computer e rende più semplice sbloccare dispositivi, app e password manager senza digitare continuamente codici in pubblico.
La biometria è comoda e utile, ma dipende dalla sicurezza del dispositivo. Non sostituisce sempre la password principale e, in molti sistemi, dopo un riavvio o dopo un certo periodo viene comunque richiesto il codice. Se il dispositivo è sbloccato o compromesso, la protezione può ridursi.
Va usata insieme a un PIN o codice robusto del dispositivo, non come unica barriera mentale. Smartphone e computer non devono restare sbloccati e incustoditi.
La biometria protegge bene l’uso quotidiano del dispositivo, ma il codice di sblocco resta fondamentale. Un PIN debole indebolisce tutto il sistema.
5.2.8 Codici di backup
Quando si attiva la 2FA o MFA, molti servizi forniscono codici di backup. Servono a recuperare l’accesso se si perde il secondo fattore, per esempio in caso di cambio telefono, furto, smarrimento o problema con l’app di autenticazione.
Questi codici sono molto importanti e vanno conservati con cura. Non devono stare in chat, foto del telefono, file non protetti o luoghi facilmente accessibili. Possono essere conservati in un password manager o su carta custodita in un posto sicuro, possibilmente separato dal dispositivo principale.
Attivare la MFA senza salvare i codici di backup può creare un problema serio: in caso di cambio telefono o smarrimento, si rischia di restare bloccati fuori dagli account.
5.3 Cambio telefono e MFA
Il cambio telefono è un momento delicato perché molti account dipendono dallo smartphone: app di autenticazione, notifiche push, SMS, app bancarie, email, password manager e recupero account. Cancellare il vecchio dispositivo prima di aver trasferito tutto può bloccare l’accesso a servizi importanti.
Prima di cambiare telefono bisogna verificare quali account usano MFA, salvare codici di backup, seguire le procedure ufficiali di trasferimento, mantenere temporaneamente disponibile il vecchio telefono, controllare email e numero di recupero e testare l’accesso al password manager.
Dopo il cambio, è opportuno testare gli account importanti, rimuovere il vecchio dispositivo dagli account, cancellarlo in modo sicuro prima di venderlo o regalarlo e controllare app bancarie, email e cloud.
5.4 MFA in azienda
In azienda la MFA dovrebbe essere prioritaria per gli account più importanti: email aziendale, home banking, gestionali, cloud, portali di fatturazione, VPN, smart working, account amministrativi, sito web, social aziendali, sistemi con dati clienti e password manager.
È particolarmente importante per amministrazione, contabilità, direzione, acquisti, commerciale, IT, gestione clienti, gestione fornitori e persone che possono approvare pagamenti o modificare dati critici.
La MFA però deve essere accompagnata da formazione. Se le persone approvano notifiche senza leggere, comunicano codici al telefono o ignorano richieste sospette, la protezione si indebolisce. La tecnologia funziona solo se il comportamento è coerente.
Mappa MFA degli account
Elenca almeno otto account personali o lavorativi e indica quali contengono dati importanti, quali permettono recuperi, quali hanno MFA attiva e dove sono conservati i codici di backup.
5.5 Limiti della MFA
La MFA riduce molto il rischio, ma non elimina ogni problema. Può essere aggirata o indebolita se l’utente inserisce il codice in un sito falso, approva una notifica non richiesta, usa un dispositivo compromesso, conserva male i codici di backup o ha un recupero account debole.
Per questo va considerata un livello aggiuntivo, non una scusa per ignorare password, link, dispositivi, sessioni e procedure. Una buona protezione combina password lunghe e uniche, MFA, attenzione ai link, dispositivi aggiornati, controllo delle sessioni, recupero sicuro e formazione.
Password inserita in una pagina falsa
Una persona inserisce la password in una pagina falsa. L’attaccante prova subito ad accedere, ma l’account chiede un codice dall’app. Se la persona non comunica il codice e non approva richieste sospette, l’accesso viene bloccato. Deve comunque cambiare password e controllare le sessioni.
La MFA non rende invincibili, ma riduce molto il rischio se viene usata bene: non comunicare codici, non approvare richieste non iniziate da te e conserva correttamente i codici di backup.
Notifica MFA inattesa
Immagina di ricevere una notifica MFA inattesa per l’email. Scrivi cosa fai nei primi cinque minuti: rifiuto, controllo accessi, cambio password da dispositivo sicuro, verifica sessioni e segnalazione se è un account aziendale.
Le password possono essere attaccate con forza bruta, dizionari, credential stuffing, password spraying, phishing, keylogger e violazioni di database. Una password robusta resta necessaria, ma sugli account importanti serve anche MFA. La regola da portare con sé è semplice: password lunghe e uniche, MFA attiva, codici mai comunicati e nessuna approvazione di accessi che non hai richiesto.