Cos'è Autenticazione a Più Fattori?

I tre fattori di autenticazione standard sono: conoscenza (password, PIN), possesso (smartphone, token hardware, smart card) e inerenza (impronte digitali, riconoscimento facciale). MFA richiede credenziali di almeno due di queste categorie, in modo che compromettere un singolo fattore non sia sufficiente per un attaccante per ottenere l'accesso. Una password rubata è inutile senza il token hardware; uno smartphone rubato è inutile senza il PIN.

Le implementazioni MFA più comuni abbinano una password a una one-time password basata sul tempo (TOTP) generata da un'app di autenticazione, un codice SMS o una notifica push su un dispositivo mobile. Le implementazioni più robuste usano chiavi di sicurezza hardware (FIDO2/WebAuthn), che resistono al phishing perché si legano crittograficamente al dominio specifico in fase di autenticazione. I codici via SMS, pur essendo migliori delle sole password, sono vulnerabili agli attacchi di SIM swapping.

MFA è uno dei controlli di sicurezza singolarmente più efficaci che un'organizzazione può adottare. I dati di settore mostrano costantemente che MFA blocca oltre il 99% degli attacchi automatizzati sulle credenziali. Nonostante questo, l'adozione rimane disomogenea — molte violazioni sono riconducibili ad account protetti solo da password, in particolare account di servizio, sistemi legacy e account personali riutilizzati su più servizi.

Come Vaulted usa Autenticazione a Più Fattori

Vaulted non usa account o autenticazione basata su login, quindi MFA non si applica direttamente al servizio. Tuttavia, la protezione opzionale tramite passphrase di Vaulted offre un secondo fattore analogo per l'accesso ai segreti. Il link stesso funge da "qualcosa che hai" (possesso dell'URL), e la passphrase agisce come "qualcosa che sai". Insieme, garantiscono che intercettare il link da solo non sia sufficiente per accedere al segreto — l'attaccante avrebbe bisogno anche della passphrase, che dovrebbe essere comunicata tramite un canale separato.