Autenticazione a Due Fattori (2FA)

L'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede agli utenti di fornire due forme distinte di identificazione prima di accedere a un account o una risorsa. Il primo fattore è tipicamente qualcosa che si conosce, come una password o un PIN. Il secondo fattore è qualcosa che si possiede, come un codice da un'app authenticator mobile, un messaggio SMS o una chiave di sicurezza hardware. Combinando due passaggi di verifica indipendenti, il 2FA garantisce che una password compromessa da sola non sia sufficiente per ottenere l'accesso. Questo principio si estende oltre le schermate di login — può anche proteggere l'accesso a documenti e pubblicazioni condivise.

Le violazioni di password sono tra gli incidenti di sicurezza più frequenti in tutti i settori. Gli attaccanti ottengono le credenziali attraverso campagne di phishing, credential stuffing da database trapelati o attacchi brute-force. Una volta in possesso di una password, un account non protetto è completamente esposto. Per gli editori che condividono report confidenziali, presentazioni per clienti o materiali di formazione interni, un singolo account compromesso potrebbe esporre dati sensibili dei lettori, informazioni di pagamento e contenuti proprietari. Il 2FA blocca questo percorso di attacco richiedendo un secondo fattore di verifica che l'attaccante non possiede.

FlipLink supporta l'accesso sicuro all'account tramite le opzioni di accesso con Google e Microsoft. Utilizzando questi identity provider, gli utenti beneficiano delle protezioni 2FA già configurate sui loro account Google o Microsoft — se avete il 2FA attivato sul vostro account Google, quella stessa protezione si estende al vostro accesso FlipLink. Per le organizzazioni che gestiscono pubblicazioni sensibili tramite le funzionalità di [collaborazione in team](/features/team-collaboration) di FlipLink, questo garantisce che l'accesso di ogni membro del team sia protetto dalle politiche di sicurezza del provider di identità. A livello di pubblicazione, FlipLink offre la [verifica OTP](/glossary/otp) combinata con le [liste email autorizzate](/glossary/email-allowlist), che funziona come un gate a due fattori: i lettori devono essere nella lista approvata (verifica dell'identità) e inserire un codice usa e getta inviato alla loro email (verifica del possesso).

Non tutti i secondi fattori offrono lo stesso livello di protezione. I codici basati su SMS sono vulnerabili agli attacchi di SIM-swapping, dove un attaccante convince un operatore a trasferire un numero di telefono sul proprio dispositivo. Le app authenticator come Google Authenticator, Authy o Microsoft Authenticator generano codici basati sul tempo localmente sul dispositivo, rendendoli resistenti all'intercettazione remota. Le chiavi di sicurezza hardware (FIDO2/WebAuthn) offrono la protezione più forte perché richiedono il possesso fisico e sono immuni al phishing. Quando scegliete un metodo 2FA per il vostro team, date priorità alle app authenticator come base e alle chiavi hardware per gli account di alto valore.

**"Il 2FA rende gli account impossibili da hackerare."** L'autenticazione a due fattori riduce drasticamente il rischio ma non lo elimina del tutto. Attaccanti sofisticati possono utilizzare proxy di phishing in tempo reale che intercettano simultaneamente sia la password che il codice 2FA. Il 2FA è uno strato forte, non un muro impenetrabile. **"La verifica SMS è sicura quanto un'app authenticator."** I codici SMS viaggiano sulla rete cellulare e possono essere intercettati tramite SIM swap o vulnerabilità del protocollo SS7. Le app authenticator generano codici sul dispositivo stesso, senza mai trasmetterli su una rete. **"Il 2FA è solo per le grandi imprese."** Qualsiasi account contenente contenuti di valore — che si tratti del [portfolio](/glossary/portfolio) di un designer freelance o del pitch deck di una startup — beneficia del 2FA. Lo sforzo per attivarlo è minimo rispetto al costo di una violazione.

1. **Attivare il 2FA sul proprio identity provider** — Accedere alle impostazioni di sicurezza dell'account Google o Microsoft e attivare la verifica in due passaggi 2. **Installare un'app authenticator** — Scaricare Google Authenticator, Authy o Microsoft Authenticator sul telefono 3. **Salvare i codici di backup** — Conservare i codici di recupero in un luogo sicuro, separato dalla password 4. **Accedere a FlipLink tramite SSO** — Utilizzare l'opzione di accesso Google o Microsoft così la protezione 2FA si estende automaticamente 5. **Richiedere SSO per il team** — Se gestite un team con le funzionalità di [collaborazione in team](/features/team-collaboration) di FlipLink, assicuratevi che tutti i membri accedano tramite un identity provider con 2FA attivato 6. **Proteggere le pubblicazioni con OTP** — Per i [flipbook](/glossary/flipbook) sensibili, attivare la [verifica OTP](/glossary/otp) con una [lista email autorizzata](/glossary/email-allowlist) per il controllo degli accessi a livello di lettore 7. **Rivedere gli accessi periodicamente** — Rimuovere i membri del team precedenti e le voci scadute dalla lista email autorizzata