La notifica è arrivata sul mio telefono alle 2:47 di notte: "Hai inviato $4.800 a..." Non avevo inviato nulla. Qualcuno era nel mio PayPal, nella mia rete, e si muoveva velocemente. Ho tagliato ogni connessione in casa: router, modem, tutto offline. Il trasferimento è stato segnalato e annullato. Sono stato fortunato.
Quello che è seguito è stata una delle settimane più improduttive della mia vita. Ho smontato l'intera rete, reinstallato i sistemi operativi su ogni dispositivo e passato al setaccio ogni account in mio possesso. Ho i log di sicurezza a dimostrarlo. Ma le prove non impediscono che succeda di nuovo. È stata l'ultima volta che mi sono fidato degli SMS per l'autenticazione a due fattori.
È successo circa un anno fa. E guardandomi indietro, non credo che puntassero solo al mio PayPal. Dati i progetti in cui ero coinvolto all'epoca, sospetto che cercassero qualcosa di più prezioso: proprietà intellettuale. Codice. Ricerca. Accesso a sistemi che valgono molto più di qualche migliaio di dollari. Il vostro conto in banca contiene i risparmi, ma i vostri dispositivi di lavoro contengono idee, e le idee possono valere una fortuna per il compratore giusto.
Probabilmente l'avete notato anche voi: Google, Apple, Microsoft e decine di altri servizi hanno iniziato a chiedere se volete configurare una passkey o usare una chiave di sicurezza. Non è un espediente. È l'industria che riconosce ciò che i professionisti della sicurezza sanno da anni: l'autenticazione hardware è il gold standard. Quando le big tech iniziano a spingervi verso qualcosa, di solito è perché sono stanche di gestire le conseguenze quando venite hackerati. Questa volta, hanno ragione. Dite sì.
Cos'è una chiave di sicurezza hardware?
Una chiave di sicurezza hardware è un dispositivo fisico che genera codici di autenticazione crittografici. Quando la inserite o la avvicinate al telefono, dimostra che siete voi in un modo che non può essere falsificato, intercettato o usato per phishing. È la forma più sicura di autenticazione a due fattori disponibile per le persone comuni.
La tecnologia dietro si chiama FIDO2 (Fast Identity Online). Quando registrate una chiave di sicurezza con un servizio, la chiave genera una coppia di chiavi crittografiche unica solo per quel servizio. La chiave pubblica va al servizio, quella privata non lascia mai il dispositivo. Quando vi loggate, il servizio invia una sfida, la vostra chiave la firma con la chiave privata, e quella firma dimostra che possedete la chiave fisica. Nessun codice da digitare. Nessuna notifica push da approvare. Basta toccare e via.
Perché l'hardware batte il software
Le app di autenticazione come Google Authenticator o Authy sono solide. Sono enormemente migliori degli SMS. Ma hanno punti deboli. Il vostro telefono può essere compromesso da malware. I codici di backup dell'autenticatore possono essere rubati. Attaccanti sofisticati hanno sviluppato attacchi di phishing in tempo reale che inoltrano i codici monouso prima che scadano. Uno studio di Google ha scoperto che le chiavi di sicurezza hanno bloccato il 100% degli attacchi bot automatizzati, il 100% degli attacchi di phishing di massa e il 100% degli attacchi mirati. Nessun altro metodo di autenticazione si è avvicinato.
"Dopo aver richiesto chiavi di sicurezza per tutti gli oltre 85.000 dipendenti, Google ha segnalato zero acquisizioni di account riuscite sugli account di lavoro. Zero. Questo è ciò che l'autenticazione fisica può fare."
Quale chiave dovreste comprare?
Il leader di mercato è Yubico, e a buon ragione. La loro linea YubiKey è robusta, ampiamente supportata e disponibile in diversi fattori di forma. Ecco come scegliere:
Serie YubiKey 5
Questo è ciò che raccomando per la maggior parte delle persone. La YubiKey 5 NFC è la scelta ideale: ha USB-A, supporta NFC per dispositivi mobili e gestisce tutti i protocolli che incontrerete. A circa $50, è un investimento che protegge potenzialmente tutto ciò che possedete. Se il vostro computer ha solo porte USB-C, prendete la YubiKey 5C NFC.
Dove acquistare
YubiKey 5 NFC (USB-A) — Yubico.com | Amazon
YubiKey 5C NFC (USB-C) — Yubico.com | Amazon
Raccomando di acquistare direttamente da Yubico per garantire l'autenticità. I link Amazon sono forniti per comodità.
Compratene almeno due
Questo è fondamentale. Le chiavi di sicurezza non hanno backup. Se perdete l'unica chiave, perdete l'accesso. Comprate due chiavi, registratele entrambe con ogni servizio, tenetene una sul portachiavi e una in un posto sicuro a casa. Alcune persone ne tengono una terza in una cassetta di sicurezza. Pensatela come avere una chiave di riserva di casa.
Il mio setup
Porto una YubiKey 5 NFC sul portachiavi. Ho una YubiKey 5C NFC di backup nella cassaforte di casa. Entrambe sono registrate con ogni servizio importante. Investimento totale: circa $100. Tranquillità: non ha prezzo.
Configurare la chiave di sicurezza su Mac
Apple ha reso la configurazione delle chiavi hardware semplice su macOS. Ecco come iniziare:
Per il vostro account Apple
Apple ha aggiunto il supporto per le chiavi di sicurezza in iOS 16.3 e macOS 13.2. Andate in Impostazioni di Sistema, cliccate sul vostro Apple ID in alto, selezionate Accesso e Sicurezza, e trovate Chiavi di Sicurezza. Cliccate su Aggiungi e seguite le istruzioni. Dovrete inserire la chiave e toccarla quando richiesto. Apple richiede di registrare almeno due chiavi, il che è un design intelligente.
Una volta configurato, qualsiasi accesso al vostro account Apple su un nuovo dispositivo richiederà una delle vostre chiavi fisiche. Niente più codici a sei cifre. Niente più popup "fidati di questo dispositivo" che gli attaccanti possono sfruttare.
Per il login del Mac
Potete anche usare la vostra YubiKey per accedere al Mac stesso. Questo richiede la configurazione dell'autenticazione smart card o l'uso della funzionalità PIV (Personal Identity Verification) della YubiKey. Yubico fornisce uno strumento chiamato YubiKey Manager che aiuta a configurare tutto. Il processo prevede la generazione di un certificato sulla chiave e la configurazione di macOS per accettarlo per il login.
Configurare la chiave di sicurezza su Windows
Windows ha un eccellente supporto per le chiavi di sicurezza, ma c'è un'avvertenza importante da conoscere prima dell'acquisto.
Windows Pro vs. Windows Home
Se volete usare la chiave di sicurezza per accedere a Windows stesso, non solo ai siti web, avrete bisogno di Windows 10 Pro o Windows 11 Pro. Le edizioni Home supportano le chiavi di sicurezza per l'autenticazione web tramite browser, ma l'integrazione completa di Windows Hello che permette di usare la chiave per il login di Windows richiede edizioni Pro o Enterprise. Questo perché la tecnologia sottostante si basa su Azure AD e funzionalità di domain join che Microsoft riserva alle edizioni business.
Se state usando Windows Home e volete questa funzionalità, potete aggiornare per circa $100. Oppure potete continuare a usare la chiave di sicurezza per i servizi web usando una password forte e un PIN Windows Hello per il login di Windows. Non ideale, ma comunque un miglioramento enorme rispetto ai codici SMS.
Per l'account Microsoft
Andate su account.microsoft.com e accedete. Navigate su Sicurezza, poi Opzioni di sicurezza avanzate, trovate la sezione Modi per dimostrare chi sei, e selezionate Aggiungi un nuovo modo per accedere. Scegliete Chiave di sicurezza, poi selezionate dispositivo USB o dispositivo NFC in base al tipo di chiave. Inserite la chiave, create un PIN per la chiave quando richiesto, e toccatela per completare la registrazione.
Per gli account aziendali Microsoft 365, il processo dipende dalla configurazione Azure AD della vostra organizzazione. Il vostro dipartimento IT potrebbe dover abilitare l'autenticazione con chiave di sicurezza. Se siete voi il dipartimento IT, vorrete consultare la documentazione Microsoft sulle impostazioni delle policy per le chiavi di sicurezza FIDO2 in Azure AD.
Servizi che supportano chiavi hardware
La bellezza delle chiavi di sicurezza hardware è quanto sono diventate universali. Ecco una manciata di servizi che ho protetto con le mie, ma questo a malapena graffia la superficie:
Google è stata una delle prime grandi aziende a supportare le chiavi hardware. Nelle impostazioni di sicurezza del vostro account Google, cercate Verifica in due passaggi e aggiungete una Chiave di sicurezza. Google offre anche un Programma di Protezione Avanzata per utenti ad alto rischio (giornalisti, attivisti, dirigenti) che richiede chiavi di sicurezza e fornisce protezioni aggiuntive.
GitHub
Per gli sviluppatori, GitHub è spesso la chiave del regno. Il vostro codice, le vostre credenziali, le vostre pipeline di deployment. Andate in Settings, Password e autenticazione, e aggiungete una chiave di sicurezza sotto Metodi a due fattori. GitHub supporta l'uso della chiave di sicurezza come metodo di autenticazione primario, non solo come secondo fattore.
Cloudflare
Se gestite siti web tramite Cloudflare, proteggere quell'account è critico. Gli attaccanti che compromettono il vostro account Cloudflare possono reindirizzare il vostro traffico ovunque. Nel dashboard Cloudflare, andate su Il mio profilo, Autenticazione, e aggiungete una chiave di sicurezza hardware.
Stripe
Il vostro dashboard di elaborazione pagamenti è uno degli account più sensibili che avete. Stripe supporta chiavi hardware nelle impostazioni dell'account sotto la sezione Sicurezza. Dato che Stripe gestisce denaro, questo dovrebbe essere uno dei primi servizi che proteggete.
Slack
Le comunicazioni aziendali contengono informazioni sensibili. Slack supporta chiavi di sicurezza nelle impostazioni del Workspace sotto Autenticazione. Se siete un amministratore del workspace, potete richiedere chiavi di sicurezza per tutti i membri.
Vercel
Se distribuite applicazioni web tramite Vercel, proteggere quell'account protegge la vostra infrastruttura di produzione. Vercel supporta chiavi hardware nelle impostazioni di sicurezza dell'account.
La lista completa continua a crescere
Oltre ai servizi sopra, le chiavi hardware sono supportate da: Amazon AWS, Microsoft Azure, Dropbox, Facebook, Instagram, Twitter/X, LinkedIn, Coinbase, Kraken, Binance, Bitwarden, 1Password, LastPass, Dashlane, Okta, Duo Security, DocuSign, Salesforce, Atlassian (Jira, Confluence), GitLab, Bitbucket, DigitalOcean, Heroku, Netlify, Fastmail, ProtonMail, Tutanota, Reddit, Discord, Twitch, Nintendo, PlayStation Network, Epic Games, EA, e centinaia di altri.
Consultate il catalogo di compatibilità di Yubico per la lista completa. È davvero impressionante.
L'ordine di priorità
Iniziate con questi in ordine: la vostra email principale (controlla i reset delle password per tutto), il vostro gestore di password, i vostri conti finanziari, i vostri servizi cloud. Espandetevi da lì. Ogni servizio che aggiungete rende la vostra vita digitale più difficile da compromettere.
Dispositivi mobili: Telefoni e tablet
Il vostro telefono è spesso la chiave maestra della vostra vita digitale. Proteggerlo con l'autenticazione hardware è possibile, anche se l'esperienza varia per piattaforma.
iPhone e iPad
Con il vostro account Apple protetto da chiavi di sicurezza (come descritto sopra), i vostri dispositivi iOS ereditano quella protezione. Potete anche usare YubiKey con NFC tenendole contro la parte superiore del vostro iPhone quando richiesto durante l'autenticazione. Funziona per i siti web in Safari e le app che supportano WebAuthn.
Android
Android ha un supporto robusto per le chiavi di sicurezza. Molti dispositivi Android possono usare direttamente chiavi USB-C. Le chiavi NFC funzionano toccandole contro il retro del telefono. I telefoni Pixel di Google funzionano perfettamente con le YubiKey sia per la protezione dell'account Google che per l'autenticazione di servizi di terze parti.
Pro e contro
Permettetemi di essere onesto sui vantaggi e i compromessi del passaggio alle chiavi di sicurezza hardware.
I vantaggi
Immunità al phishing: La chiave risponde solo al servizio legittimo. Le pagine di login false non funzionano perché non possono generare la sfida crittografica corretta. Solo questo rende le chiavi hardware un investimento valido.
Nessuna dipendenza dalla rete: A differenza dei codici SMS o delle notifiche push, la vostra chiave funziona offline. Nessun segnale cellulare? Nessun problema. Interruzione del servizio sulla vostra app di autenticazione? Non vi riguarda.
Velocità: Toccate e via. Nessun codice a sei cifre da digitare. Nessun messaggio da aspettare. L'autenticazione richiede circa un secondo.
Recupero account: Molti servizi vi permettono di usare la chiave di sicurezza per recuperare account, bypassando email o numeri di telefono potenzialmente compromessi.
Le sfide
Dipendenza fisica: Avete bisogno della chiave con voi. Dimenticatela a casa e potreste restare chiusi fuori. Per questo ne tengo una sul portachiavi.
Rischio di smarrimento: Perdete tutte le chiavi senza codici di backup e potreste affrontare processi di recupero account difficili. Alcuni servizi richiedono verifiche di identità che richiedono giorni.
Tempo di configurazione iniziale: Aggiungere chiavi a tutti i servizi richiede qualche ora inizialmente. È un investimento una tantum, ma è lavoro reale.
Costo: Le buone chiavi di sicurezza costano da $50 a $70 ciascuna. Comprarne due significa $100-$140 in anticipo. Per la maggior parte delle persone, è un piccolo prezzo per una protezione significativa, ma non è gratis.
Lacune di compatibilità: Non tutti i servizi supportano ancora le chiavi hardware. Le banche sono particolarmente lente nell'adottarle, ironicamente dato ciò che proteggono. Potreste ancora aver bisogno di metodi di autenticazione alternativi per alcuni account.
"L'inconveniente di portare una chiave di sicurezza non è nulla confrontato all'inconveniente del furto di identità. Ho visto le conseguenze. Ci vogliono mesi per riprendersi, se mai ci si riprende completamente."
Renderla la vostra identità universale
Ecco dove le chiavi di sicurezza hardware diventano veramente potenti: possono diventare la vostra singola identità digitale unificata in tutto ciò che fate.
La vostra YubiKey non è solo un secondo fattore. Le implementazioni moderne vi permettono di usarla come autenticazione primaria. Servizi come GitHub ora supportano il login senza password con chiavi di sicurezza. Microsoft sta promuovendo le passkey, che sono essenzialmente tecnologia di chiave di sicurezza integrata nei dispositivi ma che può anche risiedere su chiavi hardware dedicate. Il Portachiavi iCloud di Apple può sincronizzare le passkey, ma una chiave hardware vi dà qualcosa che esiste al di fuori di qualsiasi singolo ecosistema.
Ho configurato la mia chiave di sicurezza in modo che sia registrata ovunque conti: il mio ecosistema personale Apple, il mio account Microsoft di lavoro, i miei strumenti di sviluppo (GitHub, Vercel, Cloudflare), i miei servizi finanziari (Stripe, le mie banche che lo supportano), le mie comunicazioni (Slack, email). Un token fisico, controllo totale.
Iniziare oggi
Pronti ad aggiornare la vostra sicurezza? Ecco il vostro piano d'azione:
Passo 1: Comprate due chiavi YubiKey 5 NFC (o 5C NFC se avete bisogno di USB-C). Budget totale: circa $100.
Passo 2: Iniziate con il vostro account email principale. Questa è la chiave maestra che controlla i reset delle password per tutto il resto.
Passo 3: Aggiungete il vostro gestore di password dopo. Se usate 1Password, LastPass, Bitwarden o Dashlane, tutti supportano chiavi hardware.
Passo 4: Lavorate sui vostri account critici: servizi finanziari, piattaforme cloud, strumenti di sviluppo, servizi di comunicazione.
Passo 5: Registrate entrambe le chiavi con ogni servizio. Tenetene una con voi, conservate l'altra in modo sicuro come backup.
Passo 6: Salvate i codici di backup forniti dai servizi. Conservateli offline, idealmente stampati o in un luogo sicuro separato dalle vostre chiavi.
Serve aiuto con la configurazione?
Se siete nella zona di Mobile, Alabama, offro consulenza tecnologica tramite Greek-Fire Services. Posso guidarvi attraverso l'intero processo di configurazione e aiutarvi a proteggere la vostra vita digitale.
Il verdetto finale
Le chiavi di sicurezza hardware rappresentano l'attuale gold standard per proteggere la vostra identità digitale. Non sono perfette. Richiedono un piccolo investimento iniziale e qualche adattamento al vostro flusso di lavoro. Ma forniscono qualcosa che nient'altro può: una prova fisica e verificabile che voi, e solo voi, state accedendo ai vostri account.
In un mondo dove le violazioni di dati sono notizie settimanali, dove gli attacchi di SIM swapping sono sempre più comuni, e dove tutta la nostra vita finanziaria e professionale esiste nel cloud, un pezzo di hardware da $50 che sta nel vostro portachiavi è un'assicurazione notevolmente buona.
Ho imparato questa lezione alle 2:47 di notte, guardando qualcuno cercare di svuotare i miei account in tempo reale. Voi non dovete farlo. Considerate questa la vostra opportunità per saltare la strada difficile.
