2FA
Se usate l’autenticazione a due fattori con codici monouso generati in un’app, Google Authenticator non è la vostra unica opzione. Da quando la soluzione originale di Google è stata creata una decina di anni fa, una serie di alternative che la superano in convenienza e funzionalità sono entrate in scena.
Fino a tre anni fa, si potevano contare le app di autenticazione disponibili su una mano, ma con alcune dozzine nel mix ora, è facile perdersi nelle opzioni. Per aiutarvi a scegliere un autenticatore che funzioni con i vostri sistemi operativi, abbiamo raggruppato i 10 più degni di nota per OS:
- App di autenticazione per Android: andOTP, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP
- App di autenticazione per iOS 15: OTP auth, Step Two, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP, iOS built-in authenticator
- App di autenticazione per Windows: WinAuth, Twilio Authy
- App di autenticazione per macOS: Step Two, OTP auth (solo versione a pagamento), Twilio Authy
1. Google Authenticator
Sistemi operativi: Android, iOS
Chiunque stia leggendo questo post ha probabilmente già familiarità con il popolarissimo Google Authenticator. Tuttavia, non possiamo scrivere di applicazioni di autenticazione senza menzionarlo, così da poter usare Google Authenticator come una linea base per valutare gli altri programmi.
La versione iOS di Google Authenticator
Nel complesso, Google Authenticator è una soluzione conveniente per coloro che preferiscono non essere coinvolti con la sincronizzazione dei token attraverso il cloud. Anzi, l’app può esportare tutti i token creati, creando un unico codice QR per importarli in massa su un nuovo dispositivo. Nella versione iOS, recentemente è diventato possibile cercare i token e proteggere l’accesso all’app con Touch ID o Face ID, a differenza della versione Android. Google Authenticator non può ancora nascondere alla vista i codici generati, il che può essere problematico se lo si usa in pubblico. (Per inciso, tutti gli autenticatori per Android limitano lo scatto di screenshot, quindi tutti gli screenshot in questo post provengono dalle versioni iOS delle app).
Pro:
• Non c’è bisogno di creare un account,
• Protezione Face ID/Touch ID per l’accesso alle app (solo versione iOS),
• Interfaccia semplice con impostazioni minime,
• Possibilità di esportare e importare tutti i token in una volta sola,
• Possibilità di cercare in base al nome del token (solo versione iOS).
Contro:
• Nessuna protezione del login (versione Android),
• Impossibilità di nascondere i codici,
• Nessun backup/sincronizzazione cloud,
• Maggiore rischio potenziale, a causa della facilità di esportare i token, se l’app una volta sbloccata cade nelle mani sbagliate.
In sintesi:
Google Authenticator è privo di alcune caratteristiche utili, ma se non si è interessati a memorizzare i token nel cloud, è un’opzione discreta.
2. Microsoft Authenticator
Sistemi operativi: Android, iOS
Molte persone che cercano un’alternativa a Google Authenticator si rivolgono a Microsoft Authenticator basandosi esclusivamente sulla reputazione dello sviluppatore. Sono in parte giustificati: l’applicazione Microsoft include alcune utili aggiunte al set di funzioni di base. Ad esempio, può nascondere i codici sullo schermo e memorizzare i token nel cloud, e sia la versione iOS che quella Android proteggono i login delle app. Microsoft Authenticator è anche utile se si lavora regolarmente con gli account Microsoft, nel qual caso non è necessario inserire un codice, basta toccare il pulsante nell’app per confermare il login.
Microsoft Authenticator: Non male, ma perché è così grande?
Tuttavia, questa app ha anche degli svantaggi. In primo luogo, le app per Android e iOS utilizzano sistemi di backup cloud completamente incompatibili, e non è possibile trasferire i token in nessun altro modo. Per gli utenti di dispositivi con sistemi operativi diversi, questo sarebbe un motivo di rottura. In secondo luogo, Microsoft Authenticator ha bisogno di circa 10 volte lo spazio di archiviazione di Google Authenticator, 150MB-200MB rispetto a 15MB-20MB.
Pro:
• Accesso protetto da PIN, impronte digitali o Face ID,
• Backup/sincronizzazione su cloud,
• Nasconde i codici,
• Nessun account richiesto (fino a quando si mantiene il backup cloud disattivato),
• Accesso all’account Microsoft molto semplificato,
• Supporto per Apple Watch (versione iOS).
Contro:
• Login dell’account Microsoft necessario per il backup/sincronizzazione (solo versione Android),
• Incompatibilità tra i sistemi di backup/sincronizzazione di iOS e Android,
• Incapacità di esportare o importare token,
• Grande (richiede 150MB-200MB).
In sintesi:
Microsoft Authenticator semplifica notevolmente il login agli account Microsoft, ma è difficile giustificare le sue enormi dimensioni, e che i backup cloud di iOS e Android siano incompatibili.
3. Twilio Authy
Sistemi operativi: Android, iOS, Windows, macOS, Linux
Il vantaggio principale di Twilio Authy è il suo completo supporto multipiattaforma. Non solo Authy offre versioni per tutti i sistemi operativi attuali, ma anche l’app li sincronizza tutti facilmente. Questo facile accesso ha uno svantaggio, però. L’app richiede un account collegato al proprio numero di telefono per funzionare.
Twilio Authy ha applicazioni per ogni sistema operativo
L’interfaccia dell’app è molto diversa da quelle di altri autenticatori. Invece di una lista, ha come un insieme di schede, quindi in qualsiasi momento, mostra solo il token selezionato, lasciando il resto ad essere visualizzato come piccole icone che è possibile passare da una all’altra nella parte inferiore dello schermo. Se avete molti token, questo può essere scomodo. Gli utenti desktop possono visualizzare i token come una lista, ma l’opzione non è disponibile nella versione mobile.
Pro:
• Accesso protetto da PIN, impronte digitali o Face ID,
• Backup/sincronizzazione su cloud,
• Disponibilità per tutti i sistemi operativi più diffusi,
• Supporto per Apple Watch (versione iOS),
• Possibilità di ricerca per token.
Contro:
• Richiede un account collegato a un numero di telefono,
• Visualizza solo un token alla volta,
• Scomodità di ricerca dei token,
• Incapacità di nascondere il codice del token attivo,
• Incapacità di esportare e importare token.
In sintesi:
Non è possibile utilizzare Twilio Authy senza impostare un account, e l’interfaccia dello smartphone non è così facile da usare come vorremmo, ma con le applicazioni per tutti i sistemi operativi che si sincronizzano perfettamente tra loro, questa applicazione merita un’occhiata.
4. Cisco Duo Mobile
Sistemi operativi: Android, iOS
Duo Mobile, acquisito da Cisco nel 2018, è una delle app di autenticazione più longeve. Il suo principale vantaggio è un’interfaccia pulita e facile da usare. Duo Mobile nasconde anche i codici alla vista e non richiede un account. Tuttavia, il software è privo di altre caratteristiche importanti: prima di tutto, la protezione degli accessi, che non possiedono né la versione iOS né quella Android.
La versione Android di Cisco Duo Mobile consente agli utenti di “autorizzare temporaneamente gli screenshot”, quindi per cambiare, ecco gli screenshot di entrambe le versioni
Duo Mobile utilizza due sistemi per il backup su cloud: Google Cloud sulla piattaforma Android e iCloud sulla piattaforma iOS. Gli account Google e Apple esistenti dell’utente dello smartphone servono per questo, il che significa che gli utenti non devono creare un nuovo account perché l’app funzioni. Tuttavia, gli utenti non possono sincronizzare i dati tra le versioni Android e iOS, l’app non supporta l’esportazione di file, e non vi è alcuna opzione per visualizzare una chiave segreta o un codice QR per i token che sono già salvati (che potrebbe essere utile se è necessario fare una sincronizzazione manuale).
Pro:
• Interfaccia pulita e facile da usare,
• Possibilità di nascondere i codici,
• Non c’è bisogno di creare un account,
• Backup/sincronizzazione cloud,
• Supporto Apple Watch (versione iOS).
Contro:
• Nessuna protezione dell’accesso,
• Incapacità di esportare o importare token,
• Sistemi di backup/sincronizzazione incompatibili per iOS e Android.
In sintesi:
Cisco Duo Mobile può soddisfare le vostre esigenze se usate, e pensate di usare sempre e solo un sistema operativo mobile.
5. FreeOTP
Sistemi operativi: Android, iOS
Questa app di autenticazione open-source è stata creata dopo che Google ha chiuso il suo codice sorgente Authenticator. L’interfaccia di FreeOTP è ultraminimalista, con niente di superfluo. Questo approccio minimalista è particolarmente evidente nella versione iOS, che manca anche l’opzione per creare un token basato su una chiave segreta, lasciando solo la scansione del codice QR. La versione per Android mantiene entrambe le opzioni, e offre molta flessibilità nella creazione manuale dei token, permettendo agli utenti di scegliere il tipo di generazione (TOTP o HOTP), il numero di caratteri nel codice, l’algoritmo e l’intervallo di aggiornamento dei codici.
FreeOTP è il più minimalista autenticatore open-source
Uno svantaggio è che nessuna versione dell’app supporta la sincronizzazione cloud o l’esportazione e l’importazione di token sotto forma di file, quindi una volta che si inizia a utilizzare l’app, si è vincolati ad essa. Inoltre, in FreeOTP, non è possibile impostare un PIN o proteggere l’accesso all’app in qualsiasi altro modo (nella versione iOS, è possibile proteggere i singoli token con Touch ID o Face ID). L’app nasconde i codici per impostazione predefinita, però, e li nasconde anche automaticamente dopo 30 secondi di inattività. Il vantaggio finale di FreeOTP è che occupa uno spazio di archiviazione minimo, circa 2MB-3МB (in confronto, Google Authenticator richiede 15MB-20MB, e Microsoft Authenticator occupa 150MB-200MB).
Pro:
• Non c’è bisogno di un account,
• Interfaccia semplice,
• Codici nascosti di default,
• Codici nascosti automaticamente dopo 30 secondi di inattività,
• Requisiti minimi di archiviazione,
• Protezione Touch ID o Face ID per i token (solo versione iOS),
• Possibilità di cercare per nome del token (versione iOS).
Contro:
• Incapacità di generare un token con una chiave segreta (versione iOS; richiede la scansione di un codice QR),
• Incapacità di esportare e importare token,
• Incapacità di backup/sincronizzazione,
• Mancanza di protezione dell’accesso.
In sintesi:
Come tutte le applicazioni open-source, FreeOTP è un po’ stravagante, ma gli diamo molta importanza perché la sua interfaccia e i requisiti generali di archiviazione sono estremamente leggeri.
6. andOTP
Sistemi operativi: Android
L’autenticatore andOTP ha tutto ciò che si può pensare per salvare in modo comodo e sicuro i token, e anche di più. Per esempio, le caratteristiche di andOTP includono il supporto per i tag e la ricerca di token per nome. C’è anche un’opzione per collegare un “pulsante di panico” in modo che in caso di emergenza, è possibile cancellare tutti i token dall’app e resettare.
Come tutti gli autenticatori per Android, andOTP blocca gli screenshot su una schermata con codici, quindi ecco il menu delle impostazioni
L’app vi permette di visualizzare la vostra chiave segreta o il codice QR per ogni token individualmente. Potete anche salvare tutti i vostri token in una sola volta in un file cifrato in Google Drive, ciò significa che con un solo clic potete fare il backup nel cloud o esportare in un file. L’accesso alle app può essere protetto con una password o con l’impronta digitale che usi per accedere al tuo dispositivo Android. Per una maggiore sicurezza, tuttavia, è possibile impostare un PIN separato o anche una lunga password specifica per andOTP, insieme all’impostazione della app per bloccare dopo un periodo di inattività (che si definisce). Ci sono altre tre o quattro schermate di impostazioni, questa app è il sogno di ogni nerd.
Pro:
• Protezione dell’accesso con un PIN o una password impostata nell’app, o con il PIN o l’impronta digitale del sistema operativo,
• Possibilità di visualizzare la chiave segreta o il codice QR per qualsiasi token,
• Possibilità di esportare tutti i token in una volta in un file cifrato in Google Drive,
• Nascondere il codice,
• Nascondere automaticamente i codici quando l’utente è inattivo (dopo 5-60 secondi, configurabile),
• Blocco automatico dell’app quando l’utente è inattivo (dopo 10-360 secondi, configurabile),
• Ricerca flessibile dei token per nome o usando tag personalizzabili,
• Opzione di usare il pulsante di panico per cancellare tutti i token,
• Impostazioni flessibili e abbondanti.
Contro:
• Disponibilità solo per Android,
• Facilità di recupero della chiave, il che significa un rischio maggiore se l’app sbloccata cade nelle mani sbagliate.
In sintesi:
andOTP è l’autenticatore più ricco di funzionalità per Android e piacerà a tutti gli appassionati.
7. OTP auth
Sistemi operativi: iOS, macOS ($5.99)
Se siete un utente iPhone che ha letto le descrizioni precedenti di andOTP e ha iniziato a sentirsi geloso dei proprietari di Android, abbiamo buone notizie per voi: è disponibile anche un’app di autenticazione all’avanguardia per iOS. I creatori di OTP auth capiscono chiaramente i problemi delle persone che usano 2FA in molti servizi, quindi questa app presenta un sistema di cartelle per organizzare la memorizzazione dei token.
OTP auth permette di configurare la dimensione del carattere per i codici monouso
Inoltre, OTP auth permette di visualizzare la chiave segreta o il codice QR in qualsiasi momento per qualsiasi token o esportarli tutti in una volta in un file sullo smartphone. L’app supporta anche la sincronizzazione con iCloud. Gli utenti possono proteggere il login dell’app con Touch ID o Face ID, o usare una password separata per l’OTP auth. Noi preferiamo quest’ultima, data la facilità con cui si esportano i token da questa app. L’unica caratteristica utile che manca è la capacità di nascondere i codici.
Pro:
• Possibilità di visualizzare la chiave segreta o il codice QR di qualsiasi token,
• Possibilità di esportare tutti i token in un file in una sola volta,
• Backup/sincronizzazione iCloud,
• Sistema di cartelle per l’archiviazione organizzata dei token,
• Supporto per Apple Watch,
• Configurazione del formato di visualizzazione del codice,
• Protezione dell’accesso con password o Touch ID/Face ID.
Contro:
• Esiste solo per iOS e macOS (e solo come versione a pagamento per macOS),
• Impossibilità di nascondere i codici,
• Personalizzazione delle icone disponibile solo nella versione a pagamento,
• Maggiore rischio potenziale, a causa della facilità di recupero della chiave, se l’app sbloccata cade nelle mani sbagliate.
In sintesi:
OTP auth è l’autenticatore più ricco di funzioni per iOS, e vanta un’esportazione di token facile e conveniente.
8. Step Two
Se andOTP vi sembra eccessivo e il requisito di Twilio Authy di iscriversi vi spaventa, ma avete ancora bisogno di un autenticatore per iOS e macOS, dovreste considerare seriamente Step Two. L’interfaccia è minimalista: sia la versione per iOS che quella per macOS ricordano l’app Calcolatrice di Apple, e questo è bello a suo modo.
Step Two: il simbolo del minimalismo
Per abbinare la sua interfaccia minimalista, Step Two ha impostazioni e funzioni minime, anche se offre la sincronizzazione con iCloud. Inoltre, l’applicazione desktop supporta la scansione del codice QR, che fa attraverso la cattura dello schermo (richiedendo agli utenti di concedere il permesso, il che rende la funzione un po’ rischiosa; in teoria permette al programma di vedere tutto quello che stanno facendo).
Pro:
• Nessuna caratteristica inutile,
• Nessuna necessità di creare un account,
• Backup/sincronizzazione iCloud,
• Possibilità di scansionare i codici QR (versione macOS),
• Supporto per Apple Watch,
• Possibilità di cercare per nome del token.
Contro:
• Nessuna protezione di accesso,
• Non nasconde i codici,
• Incapacità di esportare e importare token,
• Massimo di dieci token nella versione gratuita,
• Permesso di screenshot necessario per scansionare un codice QR (versione macOS).
In sintesi:
Step Two è un autenticatore minimalista per chi ha un Mac e un iPhone e non ha bisogno di altro.
9. WinAuth
Sistemi operativi: Windows
WinAuth si rivolge principalmente ai giocatori. Il superpotere unico dell’app è il suo supporto per i token non standard per l’autenticazione nei giochi Steam, Battle.net e Trion/Gamigo. Se state cercando un’alternativa a Steam Guard, Battle.net Authenticator o Glyph Authenticator/RIFT Mobile Authenticator, questa potrebbe essere l’app che fa per voi.
WinAuth è una delle poche applicazioni di autenticazione per Windows
Per essere sicuri, l’app supporta anche i token standard, compresi i token per Guild Wars 2 e altri giochi NCSoft (che per qualche motivo gli sviluppatori elencano separatamente), e tutti gli altri: Google, Facebook, Instagram, Twitter, e così via. WinAuth utilizza una password per l’accesso e per i singoli token. L’app nasconde i codici per impostazione predefinita, anche automaticamente, e consente di cifrare i dati che memorizza ed esporta.
Pro:
• Supporto per token non standard per i servizi di gioco, il che significa che può sostituire Steam Guard e Battle.net Authenticator, così come Glyph Authenticator e RIFT Mobile Authenticator,
• Supporto per l’esportazione dei token in un file di testo non cifrato o in un archivio cifrato,
• Codici nascosti,
• Nascondere automaticamente il codice dopo più di 10 secondi di inattività dell’utente,
• Protezione dell’accesso tramite password o YubiKey (cioè U2F),
• Protezione con password aggiuntiva disponibile per ogni token,
• Portatile, con opzioni di archiviazione su flash drive e cloud,
• Può cifrare i dati memorizzati,
• Possibilità di scansionare il codice QR da file (locale o su Internet).
Contro:
• La creazione del token di Steam richiede di dare a WinAuth il vostro nome utente e password di Steam,
• Utilizzare un’app di autenticazione a due fattori su un PC non è consigliabile in generale,
• Nessuna versione per altri sistemi operativi,
• Maggiore rischio potenziale, a causa della facilità di recupero della chiave, se l’app sbloccata cade nelle mani sbagliate.
In sintesi:
I giocatori ameranno WinAuth perché permette la creazione di token non standard che sono i preferiti degli editori di giochi.
10. Autenticatore integrato in iOS e macOS
Sistemi operativi: iOS (integrato nel sistema), macOS (integrato nel browser Safari)
A partire da iOS 15, tutte le versioni del sistema operativo dell’iPhone hanno un generatore di codice monouso 2FA integrato. Per trovarlo, andate su Impostazioni → Password, selezionate un account memorizzato (o createne uno nuovo), e sotto la voce Opzioni account toccate Imposta codice di verifica… Il resto è come sempre: è possibile scansionare il codice QR o inserire manualmente la chiave segreta, o scansionare il codice QR dell’autenticatore direttamente dall’app fotocamera e poi aggiungere un token ad un account esistente in Password. Sfortunatamente, quest’ultimo metodo non vi chiederà di creare un nuovo account.
I nuovi autenticatori integrati in iOS e macOS non possono davvero sostituire un’app apposita
Un autenticatore integrato è ora disponibile anche in macOS, o più specificamente, nelle versioni 15 e successive del browser Safari. Per trovarlo, apri Safari, e nel menu in alto dello schermo, vai su Safari → Preferenze → Password. Selezionate un account (o toccate + per crearne uno nuovo), toccate Modifica, e nella finestra che si apre, toccate Inserisci chiave di recupero… (non c’è l’opzione codice QR qui). I token si sincronizzano automaticamente utilizzando iCloud, quindi non sarà necessario attivarli nuovamente sul Маc se li avete già creati su un iPhone.
In teoria, l’autenticatore integrato in iOS/macOS supporta l’autoriempimento, ma in pratica, non funziona ancora molto bene. Abbiamo fatto un piccolo esperimento con un account Twitter e l’autenticazione a due fattori con il codice che abbiamo ricevuto. I risultati sono stati misti: quando abbiamo effettuato l’accesso all’app Twitter, il sistema ha compilato con successo un codice di autenticazione, ma quando abbiamo cercato di accedere al sito web di Twitter in Safari, il codice non è mai apparso, sia che abbiamo provato in iOS o in macOS.
Pro:
• Disponibilità su ogni iPhone (iOS 15 e successivi) e ogni Маc (indipendentemente dal sistema operativo, Safari 15 e successivi),
• Nessuna necessità di creare un account separato,
• Possibilità di aggiungere un token direttamente dall’app fotocamera (ma solo ad un account esistente; non funziona per crearne uno nuovo),
• Autoriempimento per i codici monouso,
• Protezione dell’accesso tramite Touch ID o Face ID,
• Backup/sincronizzazione iCloud.
Contro:
• Posizione nelle profondità delle impostazioni di iOS o Safari,
• Visualizzazione di un solo token alla volta,
• Impossibilità di nascondere i codici,
• Password dell’account visibile accanto al codice (versione iOS),
• Memorizzazione di token 2FA e password insieme antitetici ai principi dell’autenticazione a due fattori,
• Incapacità di esportare e importare token.
In sintesi:
A prima vista, costruire un autenticatore nel sistema operativo sembra una buona idea. Tuttavia, in questo caso, l’autoriempimento non funziona in modo coerente, e la funzione è troppo difficile da trovare.
Ricordatevi di fare una copia di backup
Per concludere, ecco alcuni consigli. In primo luogo, non si deve essere mai limitati all’utilizzo di una sola app di autenticazione. Un’opzione può essere migliore per alcuni scopi, un’altra per altri. Potete, e dovreste, combinare le app a seconda delle vostre esigenze.
In secondo luogo, vi consigliamo di prestare attenzione alla sicurezza. Installate un blocco affidabile del dispositivo e assicuratevi sempre di abilitare la protezione dell’accesso alle app, soprattutto se avete intenzione di utilizzare uno degli autenticatori che vi permette di esportare facilmente i token (Google Authenticator, andOTP, OTP auth o WinAuth). Con queste app, che danno la priorità alla facilità di accesso, un potenziale hacker non solo può rubare un codice monouso che funziona per 30 secondi, ma anche clonare rapidamente tutti i token.
In terzo luogo, ricordatevi di fare una copia di backup dei vostri token, soprattutto se avete scelto una delle app in cui non è possibile visualizzare la chiave segreta o il codice QR o esportare i token in un file (in altre parole, la maggior parte di loro). La copia di backup vi tornerà utile se perdete lo smartphone o se, per esempio, l’app smette di funzionare correttamente dopo un aggiornamento di routine. Nella maggior parte dei casi recuperare un autenticatore senza una copia di backup sarà molto più difficile.
