Indice dei contenuti
Uno degli argomenti più caldi e più discussi nella nostra comunità è sicuramente quello delle applicazioni a due fattori. Tanto importanti quanto, per alcuni, difficili da gestire proprio per la paura di perdere per sempre le chiavi dei vari servizi a cui si è iscritti. Per risolvere a questo problema spesso molti si chiedono: quali app per l’autenticazione a due fattori in cloud esistono?
L’autenticazione a due fattori, giusto per fare un brevissimo riassunto per chi non sapesse di cosa stiamo parlando, è la richiesta di un codice univoco dopo aver fatto il login su un sito. Attualmente è una delle più importanti misure di sicurezza che si possono avere sui propri account online e viene consigliata di attivarla pressoché ovunque. Ci sono diversi metodi per l’autenticazione a due fattori e quelli più usati sono generalmente due: l’SMS e un codice generato da un’applicazione.
Autenticazione a due fattori: meglio non usare gli SMS
Tendenzialmente escludiamo e sconsigliamo l’SMS in quanto è un metodo non efficace 1 e suggeriamo sempre di utilizzare un codice generator da un’applicazione (oltre all’eventuale utilizzo di chiavette fisiche come la YubiKey ovviamente).
Dunque esistono, come già ben sappiamo, moltissime applicazioni alternative a Google Authenticator. Queste applicazioni generalmente fanno backup automatici e crittografati ma soltanto in locale. Da qui la paura di molte persone: e se mi dimentico di salvare il backup da qualche parte? E se lo perdo? E se il backup non lo fa realmente ma si blocca?
Piccola digressione visto che abbiamo nominato Google Authenticator: da poco chi utilizza Google Authenticator ha la possibilità di salvare i codici in cloud 2. Peccato che, quando hanno lanciato questa bella novità, si siano anche dimenticati di dire che vengono archiviati senza utilizzare la crittografia a conoscenza zero e dunque sono potenzialmente accessibili da Google stessa.
Un ricercatore l’ha infatti scoperto analizzando il traffico dei dati 3 e solo dopo Google ha ammesso che, sì insomma, era ed è voluto 4. In conclusione: non usate Google Authenticator in cloud.
App per l’autenticazione a due fattori in cloud
Cerchiamo ora di capire le esigenze della vita quotidiana cercando di proporre compromessi il più possibile sicuri. Avere un’applicazione per l’autenticazione a due fattori in cloud secondo noi è un metodo meno sicuro dell’averla solamente in locale. Tuttavia è più comodo perché se anche perdiamo lo smartphone sappiamo che i nostri codici sono tutti al sicuro e crittografati “da qualche parte”. Potremmo fare lo stesso con il backup in locale, salvandolo (o addirittura stampandolo) di tanto in tanto. Tuttavia, come detto, parliamo di compromessi e di facilitare la vita con la tecnologia.
Vista l’importanza di questa operazione troviamo fondamentale che le applicazioni utilizzate siano innanzitutto Open source, utilizzino la crittografia a conoscenza zero e che, possibilmente, abbiano passato audit di sicurezza indipendenti.
Andiamo dunque con ordine con i nostri consigli, ricordandovi sempre che comunque queste applicazioni è bene proteggerle, anch’esse, con l’autenticazione a due fattori ma mi raccomando quest’ultima non salvatela all’interno dell’applicazione stessa altrimenti entrate in un loop di (in)sicurezza. Se pensate di utilizzare una di queste applicazioni in cloud è bene utilizzarne una in locale, come Aegis o Authenticator Pro, per il codice 2FA.
Farvi una volta il backup crittografato e salvarvelo da qualche parte al sicuro (visto che è crittografato potete salvarlo più o meno ovunque, anche nei messaggi salvati di Telegram, per esempio).
È bene, infine, ricordare che i codici dovrebbero essere tutti potenzialmente al sicuro in quanto tutte le applicazioni che vi suggeriamo utilizzano Crittografia zero-knowledge e che se anche ci dovesse essere un attacco ai server di queste aziende i vostri codici saranno protetti dalla password scelta da voi. Per questo è, secondo noi, importante scegliere applicazioni Open source e con audit di sicurezza indipendenti.
App per l’autenticazione a due fattori in cloud: la nostra lista
Bitwarden
Open source
codici salvati in cloud
audit di sicurezza
a pagamento
disponibile per iOS
Bitwarden è un password manager gratuito e Open source, uno dei migliori e che consigliamo spesso. Nella sua versione a pagamento (circa 1€ al mese) permette di essere anche utilizzato come applicazione per la gestione dell’autenticazione a due fattori. Il nostro consiglio, e lo ripetiamo spesso, è quello di non tenere password e OTP nello stesso posto. Prendete dunque in considerazione questa alternativa principalmente se usate un password manager alternativo.
•Ente Auth
codici salvati in cloud
Open source
attualmente gratuito (previsto in futuro un piano a pagamento per i nuovi iscritti)
a breve disponibile per iOS (attualmente in beta)
Ente è un provider per gestire le proprie foto online che offre uno spazio crittografato zero-knowledge. Di recente, sfruttando la loro architettura, hanno rilasciato una bella applicazione per i codici 2FA. Per poterla utilizzare è necessario avere un account su Ente, lo stesso che userete per salvare le vostre foto. Attualmente è possibile avere un piano gratuito di un anno per Ente e gli sviluppatori fanno sapere che utilizza già Ente Authenticator lo potrà utilizzare gratuitamente senza problemi. Il piano più basso di Ente Photos parte da 10€ l’anno.
È previsto un audit di sicurezza per la loro infrastruttura tuttavia non è ancora stato effettuato perché è ancora in fase di sviluppo e miglioramento.
•Proton Pass
codici salvati in cloud
Open source
disponibile per iOS
Così come per quanto riguarda Bitwarden vi consigliamo Proton Pass solo se non utilizzato anche come password manager. Nella versione gratuita permette di gestire solamente tre credenziali per l’autenticazione a due fattori mentre sono infinite nella versione a pagamento. Su desktop è possibile utilizzare solamente l’estensione del Browser. Chiaramente è tutto in cloud e semplice da utilizzare.
• • • •Keepass
Open source
possibilità di salvare i codici anche in cloud
audit di sicurezza
gratis (se escludiamo il server su cui appoggiarsi)
disponibile per iOS
Keepass è un password manager offline che permette però di salvare anche codici di autenticazione e soprattutto ha la possibilità di funzionare anche in cloud. Come? Gli abbiamo dedicato un intero articolo per questa opzione, dunque se ne siete interessati potete vederlo qui. Tendenzialmente è possibile sfruttare qualsiasi collegamento WebDAV come ad esempio un qualunque server Nextcloud, crittografando il tutto con una propria chiave.
•Standard Notes
codici salvati in cloud
Open source
audit di sicurezza
a pagamento
disponibile per iOS
Nella versione a pagamento (circa 50€ l’anno) Standard Notes, un’ottima alternativa per Google Keep, offre la possibilità di gestire le proprie 2FA in cloud. Visto il prezzo un po’ alto difficilmente qualcuno potrebbe voler pagare questa cifra esclusivamente per i 2FA in cloud, tuttavia se già pensate di utilizzare Standard Notes per i vostri documenti privati allora potreste approfittare di questa opportunità.
•- Is SMS 2FA Secure?[↩]
- Google Authenticator now supports Google Account synchronization[↩]
- Mysk su Mastodon[↩]
- Risposta di Google[↩]
Unisciti alle comunità
