🛡️ MFA & Passkeys: Oltre la Semplice Password

Target: Implementare protocolli di autenticazione forte per rendere le credenziali immuni ad attacchi di phishing e furto di identità.

::: info L’MFA (Multi-Factor Authentication) aggiunge uno strato di sicurezza richiedendo due o più prove di identità indipendenti. Le Passkeys rappresentano l’evoluzione finale, eliminando del tutto la password a favore di una coppia di chiavi crittografiche asimmetriche. :::

1. Gerarchia della Sicurezza MFA

Non tutti i sistemi di secondo fattore sono ugualmente sicuri. In qualità di ingegneri, dobbiamo prioritizzare i metodi resistenti al phishing.

Livello	Metodo	Sicurezza	Note Tecniche
🔴 Basso	SMS / Email	Debole	Vulnerabile a SIM Swapping e intercettazione protocolli SS7.
🟡 Medio	App TOTP (Authenticator)	Buona	Basato su algoritmo RFC 6238. Vulnerabile solo a phishing in tempo reale.
🟢 Alto	Hardware Key (YubiKey)	Eccellente	Standard FIDO2/WebAuthn. Impossibile da phishare: richiede possesso fisico.
💎 Elite	Passkeys	Massima	Basate su crittografia a chiave pubblica. Sostituiscono la password.

2. TOTP (Time-based One-Time Password)

Il TOTP è il metodo standard più diffuso. Funziona tramite un segreto condiviso tra il server e la tua App (es. Bitwarden, Google Authenticator).

Algoritmo: Genera un codice numerico (solitamente 6 cifre) che cambia ogni 30 secondi.
Workflow: Il client e il server calcolano indipendentemente il codice usando HMAC(Secret, T) dove T è l’intervallo temporale corrente.
Best Practice: Archivia i “Seed” (codici QR) o le chiavi di recupero nel tuo Password Manager in una nota cifrata separata.

3. Passkeys: Il futuro Passwordless

Le Passkeys sono basate sullo standard FIDO (Fast IDentity Online). Invece di inviare una password, il tuo dispositivo (PC, Smartphone) crea una coppia di chiavi asimmetriche per ogni sito.

Perché sono superiori?

Anti-Phishing: La chiave privata non lascia mai il dispositivo. Non c’è nulla da digitare in un sito falso.
Unicità per Dominio: Il protocollo WebAuthn lega la chiave al dominio reale (es. apple.com). Se sei su un sito clone (appe-le.com), il browser rifiuterà di firmare l’accesso.
Zero Leakage: Se il server di un servizio viene bucato, l’attaccante troverà solo una chiave pubblica inutile senza la tua chiave privata locale.

📉 Workflow: Autenticazione con Passkey (Mermaid)

graph LR
    USER[Utente / Biometria] --> DEV[Dispositivo: PC/Phone]
    DEV -->|1. Challenge| SRV[Server del Servizio]
    SRV -->|2. Request Signature| DEV
    DEV -->|3. Private Key Signature| SRV
    SRV -->|4. Verify with Public Key| SRV
    SRV -->|5. Access Granted| USER
    
    subgraph Security_Hardware
    DEV
    end

🛠️ Strategia di Implementazione Personale

Hardening Account Critici: Attiva l’MFA via App TOTP (preferibilmente integrata in Bitwarden) su ogni servizio che lo supporta.
Transizione Passkey: Dove disponibile (Google, Microsoft, Amazon, GitHub), migra verso le Passkeys. Usale insieme alla biometria del PC (Windows Hello) o dello smartphone.
Recovery Codes: Quando attivi l’MFA, il sito ti fornirà dei codici di emergenza. Documentali immediatamente in formato cartaceo o in un file cifrato sul tuo NAS. Se perdi il dispositivo MFA e non hai i codici, l’account è perso per sempre.
Hardware Backup: Se usi chiavette hardware (YubiKey), comprane sempre due. Una da usare quotidianamente e una da tenere in cassaforte come backup.

💡 Note dell’Architetto (Critical Thinking)

Convenience vs Security: Le Passkeys sincronizzate (es. tramite iCloud Keychain o Bitwarden) sono un ottimo compromesso tra sicurezza e comodità. Tuttavia, per il controllo del tuo Server Proxmox o del NAS, preferisci sempre un fattore legato ad un hardware fisico non sincronizzato.
MFA Fatigue: Fai attenzione agli attacchi di “MFA Bombing” (invio massivo di notifiche push di approvazione). Non approvare mai una richiesta di accesso che non hai generato tu personalmente in quel preciso istante.

Tags: #IAM #MFA #TOTP #Passkeys #FIDO2 #WebAuthn #SecurityModernization*