FAQ 2FA
Un elenco di risposte alle domande più frequenti relative all’autenticazione a due fattori
Scansionando il QR Code, il tuo telefono e il nostro sistema si scambiano una “Chiave Segreta” univoca. Da quel momento in poi, sia il tuo dispositivo che il server useranno questa chiave, combinata con l’orario esatto, per calcolare lo stesso codice temporaneo a 6 cifre. È come se avessero sincronizzato due orologi identici: solo chi possiede quella chiave specifica può generare il codice corretto per accedere.
No. L’algoritmo (il metodo di calcolo) è pubblico e standard, ma è inutile senza la Chiave Segreta contenuta nel tuo telefono. È come conoscere il meccanismo interno di una serratura: sapere come funziona non permette di aprirla se non si possiede la chiave fisica specifica. La sicurezza risiede nella chiave, non nel metodo di calcolo.
Se non hai un backup, sì. Per evitare questo scenario, consigliamo vivamente di salvare i codici di backup (o codici di recupero) che vengono forniti subito dopo la configurazione della 2FA. In alternativa, puoi scansionare il QR Code iniziale con due dispositivi diversi (es. telefono e tablet) per avere un “clone” di emergenza, oppure utilizzare app di autenticazione che permettono il backup cifrato in cloud.
Sì, il QR Code contiene la Chiave Segreta in chiaro. Se qualcuno lo intercetta prima che tu completi la configurazione, potrebbe generare i tuoi stessi codici. Tuttavia, per accedere al tuo account avrebbe comunque bisogno della tua password. Se sospetti che il QR sia stato compromesso, rigeneralo immediatamente dal pannello di sicurezza per invalidare quello vecchio.
Il codice cambia continuamente per sicurezza: se anche venisse intercettato, diventerebbe inutile dopo mezzo minuto. Se il codice viene rifiutato, al 99% è un problema di sincronizzazione dell’orario. Assicurati che l’ora del tuo telefono sia impostata su “Automatico” (sincronizzata via rete), poiché anche pochi secondi di differenza rispetto all’orario del server possono generare un codice diverso.
Consigliamo Google Authenticator, 2FAS Auth, Authy. Esistono anche altre app sicure per la 2FA.
