Che cos'è un'app di autenticazione

Un'app di autenticazione è uno strumento di sicurezza che genera codici di verifica temporanei utilizzando algoritmi crittografici (come TOTP o HOTP) per aggiungere un ulteriore livello di protezione ai tuoi account.

Le fughe di password si verificano continuamente e affidarsi solo alle password non è più sicuro. Ecco perché i principali siti web e app ora offrono l'Autenticazione a Due Fattori (2FA) o l'Autenticazione a Fattori Multipli (MFA). Le app di autenticazione sono uno strumento popolare per il 2FA che genera codici di verifica dinamici per proteggere i tuoi account insieme alle tue password.

Come funziona un'app di autenticazione?#

Un'app di autenticazione funziona condividendo una chiave segreta unica con il server dove è ospitato il tuo account. Quando configuri per la prima volta il 2FA, il servizio genera questa chiave segreta e la visualizza come un codice QR. Una volta scansionato questo codice con la tua app di autenticazione, sia la tua app che il servizio possiedono ora la stessa chiave segreta - e solo loro la conoscono.

Utilizzando questa chiave condivisa insieme al tempo attuale, entrambe le parti possono generare indipendentemente lo stesso codice di verifica a 6 cifre tramite algoritmi standardizzati (tipicamente TOTP - Password Monouso Basata sul Tempo). Quando tenti di accedere, il servizio confronta il codice che inserisci dalla tua app di autenticazione con il codice che ha generato - se corrispondono, ti viene concesso l'accesso.

Il processo di configurazione è semplice:

1. Il servizio genera una chiave segreta unica
2. Scansiona il codice QR contenente questa chiave con la tua app di autenticazione
3. L'app memorizza la chiave in modo sicuro sul tuo dispositivo
4. Da quel momento, entrambe le parti possono generare codici di verifica corrispondenti quando necessario

Perché le app di autenticazione sono sicure?#

Le app di autenticazione offrono un'impressionante sicurezza. Secondo la ricerca di Google, bloccano il 99,9% degli attacchi automatizzati - sono il 50% più efficaci della verifica tramite SMS. Esploriamo perché sono così sicure:

Sicurezza matematica#

Immagina la sfida di entrare:

• Codici SMS: Come indovinare un numero a 6 cifre (1 milione di possibilità)
• Chiave dell'autenticatore: Come indovinare un numero a 80 bit (più combinazioni degli atomi nell'universo)

Protezione basata sul tempo#

Confronto di validità del codice:

• I codici SMS di solito rimangono validi per 5-10 minuti, creando un significativo rischio di sicurezza
• I codici dell'app di autenticazione si aggiornano ogni 30 secondi, rendendoli praticamente impossibili da sfruttare

Vantaggi della generazione offline delle app di autenticazione#

• Nessuna trasmissione di rete necessaria
• Nessun rischio di intercettazione di SMS
• Immuni agli attacchi di clonazione della SIM

Perché gli hacker non possono violare le app di autenticazione?#

Pensa ad esso come a una cassaforte con una combinazione in continua evoluzione:

• Cambia ogni 30 secondi
• Richiede sia "chiave segreta" che "tempo esatto"
• Anche se un codice viene rubato, il successivo rimane sicuro

Quello che sai (password) + Quello che hai (app di autenticazione) + Matematica basata sul tempo = Protezione quasi inespugnabile

Come usare un'app di autenticazione: Una guida passo passo#

Impariamo a utilizzare un'app di autenticazione attraverso un esempio pratico.

Dimostreremo il processo utilizzando il servizio di autenticazione di Logto.

Passo 1: Scarica e configura la tua app di autenticazione da fonti affidabili#

1. Scarica un'app di autenticazione affidabile:
   • Google Authenticator
   • Microsoft Authenticator
2. Installa l'app sul tuo telefono
3. Completa la configurazione iniziale (crea un account se richiesto) secondo le istruzioni dell'app.

Passo 2: Abilita il supporto dell'app di autenticazione per l'app demo di Logto#

1. Accedi o iscriviti a Logto Cloud, e crea il tuo primo tenant seguendo la guida di onboarding.

2. Vai su Console > Autenticazione a più fattori, e attiva i fattori di autenticazione OTP dell'app di autenticazione e Codice di backup e scegli "Gli utenti sono sempre obbligati a utilizzare l'MFA al momento dell'accesso" come politica di verifica a 2 passaggi, quindi fai clic su Salva modifiche.

3. Vai su Console > Esperienza di accesso > Registrazione e accesso pagina, seleziona Nome utente come identificatore di registrazione e rimuovi Indirizzo email dall'identificatore di accesso, quindi fai clic su Salva modifiche,

Passo 3: Scansiona il codice QR per collegare l'app di autenticazione al tuo account nell'app demo#

1. Ancora nella pagina Esperienza di accesso della Console di Logto, fai clic sul pulsante "Anteprima dal vivo" in alto a destra della sezione Anteprima di Accesso"**. Verrai quindi reindirizzato alla pagina di accesso dell'app demo.

2. Fai clic sul pulsante crea un account nella pagina di accesso, inserisci il tuo nome utente e la tua password per creare un account, e vedrai una schermata che mostra un codice QR.

3. Apri la tua app di autenticazione e scansiona il codice QR. Vedrai quindi una schermata che mostra un codice a 6 cifre.

4. Inserisci il codice a 6 cifre per confermare il collegamento e verrai reindirizzato a una pagina di codici di backup. Ricorda di salvare il codice di backup in un posto sicuro.

5. Fai clic sul pulsante Continua e avrai accesso con successo all'app demo.

Passo 4: Prova ad accedere all'app demo con l'app di autenticazione#

1. Quando hai effettuato con successo l'accesso all'app demo, fai clic sul pulsante Esci dall'anteprima dal vivo per uscire dall'app demo e tornare alla pagina di accesso dell'app demo.

2. Prova ad accedere all'app demo con il tuo nome utente e la tua password e scoprirai che devi inserire un codice a 6 cifre per accedere.

3. Apri la tua app di autenticazione, inserisci il codice a 6 cifre mostrato relativo a logto.app e avrai accesso con successo all'app demo!

Come utilizzare in modo sicuro le app di autenticazione?#

Le app di autenticazione sono sicure, ma devi utilizzarle correttamente per ottenere la migliore protezione:

Scarica da fonti affidabili#

• Ottieni la tua app di autenticazione solo dai negozi di app ufficiali (Google Play Store, Apple App Store)
• Utilizza app popolari di aziende affidabili come Google, Microsoft.
• Fai attenzione alle app false: potrebbero rubare i tuoi account

Tieni al sicuro i tuoi codici di backup#

• Salva i tuoi codici di backup in un luogo sicuro offline o in un gestore di password
• Non tenere i codici di backup sullo stesso dispositivo della tua app di autenticazione
• È intelligente memorizzare i codici di backup in più di un luogo sicuro
• Controlla occasionalmente che tu possa ancora accedere ai tuoi codici di backup

Fai attenzione durante la configurazione#

Quando aggiungi account alla tua app di autenticazione:

• Scansiona i codici QR quando non c'è nessun altro intorno
• Non fare mai screenshot di codici QR o chiavi segrete
• Non condividere chiavi segrete tramite messaggi o email
• Se copi una chiave segreta, cancella la tua clipboard dopo

Altri consigli sulla sicurezza#

• Usa lo sblocco con impronta digitale o facciale nella tua app di autenticazione se puoi
• Effettua regolarmente il backup della tua app di autenticazione
• Mantieni aggiornati il tuo telefono e la tua app di autenticazione
• Per account importanti, potresti voler utilizzare un'app di autenticazione separata

Cosa succede se perdo la mia app di autenticazione?#

Non preoccuparti se perdi la tua app di autenticazione. Quando imposti il 2FA, i servizi forniscono codici di backup: questi sono codici di emergenza una tantum che dovresti conservare in modo sicuro offline o in un gestore di password.

Le app di autenticazione popolari offrono funzionalità di backup:

• Google Authenticator: backup su cloud su Google Account
• Microsoft Authenticator: backup e recupero su cloud

Se tutto il resto fallisce, puoi contattare il supporto clienti per assistenza.