Come spostare Authenticator su un altro telefono senza perdere l'accesso agli account

La sicurezza degli account digitali si basa sempre più sul concetto di autenticazione a due fattori (2FA): accanto all’uso dei classici nomi utente e password per il login, si usano molto spesso le cosiddette applicazioni Authenticator. Sono app come Google Authenticator, Microsoft Authenticator e Authy che forniscono un codice di conferma da digitare per l’accesso ai vari servizi online.

Il ruolo delle app Authenticator: “qualcosa che possiedi“

Le applicazioni come Google Authenticator, Microsoft Authenticator, Authy e simili (ce ne sono tantissime per mobile e desktop come Proton Authenticator, Bitwarden – che è anche password manager -, Ente Auth, GNOME Authenticator, Casdoor Authenticator; su mobile Aegis Authenticator, 2FAS, FreeOTP, Stratum Authenticator) rientrano principalmente nella categoria “qualcosa che possiedi“.

Questo perché i codici sono generati solo sul dispositivo fisico dell’utente (smartphone, tablet, notebook, desktop); sono basati su una chiave segreta memorizzata in locale; non possono essere ricreati senza accesso al device o alla chiave.

In pratica, per autenticarsi a un servizio sul quale si è attivata la 2FA non basta conoscere la password corretta (“qualcosa che conosci“): serve anche avere fisicamente il telefono su cui è configurata l’app Authenticator (“qualcosa che possiedi“).

Le applicazioni Authenticator si basano su algoritmi TOTP (Time-based One-Time Password), derivati da uno standard definito nella IETF RFC 6238. Ogni servizio configurato nell’app è associato a una chiave segreta condivisa tra server e dispositivo. Tale segreto, tuttavia, non “viaggia” mai tra server e client (e viceversa): il codice TOTP (generalmente a 6 cifre) è calcolato dall’app Authenticator e – simultaneamente – lato server dal servizio a cui si vuole accedere in funzione del tempo attuale (data e ora con finestre larghe 30 secondi) e del segreto generato inizialmente.

Perché è importante sapere come spostare l’app Authenticator su un altro telefono

Se avete attivato la 2FA per accedere a uno o più account/servizi online, fatevi una domanda: cosa succederebbe se domattina il vostro smartphone non si avviasse più? Cosa accadrebbe se lo perdeste o qualcuno riuscisse a sottrarvelo?

Se l’accesso a un account online dipendesse dal codice a 6 cifre generato dall’app Authenticator sareste “spacciati”. Anche digitando nome utente e password corretti, non sapreste poi quale codice di conferma digitare non essendo più in possesso del dispositivo autorizzato a generare quei codici!

Come abbiamo spiegato nell’articolo su come evitare il blocco dell’account Google, la mossa vincente consiste nell’attivare più fattori e altre forme di recupero dell’account. Questo non vale solo per gli account Google ma per qualunque altro account, soprattutto quelli che per voi hanno grande valore.

Ove possibile (leggasi, dove permesso dal fornitore del servizio), si dovrebbero attivare i codici di backup (codici che permettono di sbloccare l’account indipendentemente dalle altre misure di sicurezza) avendo cura di salvarli in un posto sicuro e inaccessibile ai soggetti non autorizzati; il ripristino via email, tramite SMS/chiamata, passkey o token di sicurezza (i.e. chiavette Yubikey).

Se non si avesse più a disposizione il vecchio smartphone con l’app Authenticator installata, grazie a questi meccanismi è possibile effettuare comunque l’accesso per poi disattivare la 2FA e riattivarla su un nuovo smartphone.

Migrazione app Authenticator tramite QR code

Molte app moderne, come Google Authenticator, Microsoft Authenticator e Authy, offrono una funzione di esportazione/importazione tramite codice QR.

Il principio è semplice: il dispositivo genera un QR code contenente le chiavi segrete e il nuovo dispositivo le importa tramite scansione.

Per procedere in tal senso, basta accedere all’app Authenticator sul vecchio telefono, cercare l’opzione Esporta o equivalente, generare uno o più QR code quindi, sul nuovo smartphone, selezionare Importa per poi scansionare i codici generati.

È fondamentale chiarire un aspetto: il codice QR generato in fase di esportazione dovrebbe essere custodito gelosamente (sarebbe preferibile non salvarlo neppure come file, preferendo l’acquisizione tramite fotocamera dall’app Authenticator). Il motivo è semplice ma spesso sottovalutato: il QR code contiene la chiave segreta TOTP associata a ogni singolo account dell’utente!

Il QR code non è un “semplice codice”: è una credenziale

Configurando o esportando un account 2FA da un’app Authenticator (cosa che peraltro non tutte le app permettono di fare…), il QR code codifica una stringa nel formato seguente: otpauth://totp/... ?secret=XXXXXX

La voce secret è la componente critica: chiunque entri in possesso della chiave segreta può generare gli stessi codici dell’app Authenticator, superare il secondo fattore e accedere agli account in caso di conoscenza di username e password corretti.

Esportare il QR code equivale a duplicare l’app Authenticator: se il QR è memorizzato come immagine (screenshot, file, backup cloud), perde una caratteristica fondamentale della sicurezza TOTP: la non replicabilità. Il file con il QR, se non rimosso immediatamente dopo la successiva importazione, può restare per anni su dispositivi, backup o cloud. Malware, persone non autorizzate, meccanismi automatici potrebbero acquisire il codice QR e utilizzarlo per porre in essere furti d’identità.

Installare e configurare l’app Authenticator su un secondo dispositivo

Come abbiamo spiegato nell’articolo su Proton Authenticator, una buona mossa “a prova di futuro” per evitare problemi consiste nel configurare l’app Authenticator anche su un altro dispositivo (quindi non solo sullo smartphone) che sia però sotto il proprio esclusivo controllo (ad esempio un sistema Windows, macOS o Linux protetto da crittografia).

Un solo dispositivo con app Authenticator rappresenta un single point of failure: smarrimento, furto, guasto hardware, reset o formattazione accidentale possono rendere impossibile – come abbiamo già visto in precedenza – l’accesso agli account.

Configurare un secondo dispositivo consente invece di introdurre una forma di ridondanza controllata. Inoltre, non è necessario installare la stessa app Authenticator che si usa sul telefono: basta trasferire le chiavi segrete mediante codice QR in modo sicuro.

Conclusioni

La gestione delle app Authenticator non può essere considerata un’operazione secondaria o meramente tecnica: rappresenta, a tutti gli effetti, un elemento centrale nella protezione e nella continuità di accesso ai propri account digitali. Comprendere come funzionano i meccanismi TOTP, come vengono gestite le chiavi segrete e quali sono i rischi legati alla loro esposizione consente di evitare errori che, nella pratica, possono tradursi in perdita di accesso o compromissione degli account.

Adottare un approccio consapevole significa agire su più livelli: proteggere i QR code e le chiavi segrete evitando qualsiasi forma di persistenza non necessaria, predisporre metodi di recupero come codici di backup e canali alternativi di autenticazione, e soprattutto introdurre una strategia di ridondanza tramite un secondo dispositivo sotto controllo esclusivo.

La vera efficacia della 2FA, infatti, non dipende solo dalla sua attivazione, ma da come è gestita nel tempo.