BLOG

21 Luglio 2025

Google Authenticator e la falsa sicurezza delle One Time Password

Il legame tra Google Authenticator e l’account Gmail, che potrebbe mettere a rischio centinaia di account anche con l’OTP attivo.

Cos’è Google Authenticator e cosa dovrebbe proteggere

Google Authenticator è un’applicazione mobile progettata per generare codici temporanei di accesso (OTP – One Time Password) utilizzati come secondo fattore di autenticazione (2FA) nei sistemi che supportano l’autenticazione a due fattori. Il suo scopo principale è quello di aggiungere un ulteriore livello di sicurezza rispetto alla semplice password, rendendo più difficile l’accesso non autorizzato agli account.

In termini pratici, anche se un attaccante riesce a rubare o indovinare la password dell’utente, non potrà accedere senza il codice temporaneo generato dall’app. Questo approccio è diventato uno standard di sicurezza su numerose piattaforme online, inclusi servizi finanziari, strumenti di cloud computing, email provider e social network.

Come funziona, passo dopo passo

Facciamo un esempio concreto: immaginiamo di voler accedere al nostro account su un servizio che ha abilitato l’autenticazione OTP. Dopo aver inserito il nome utente e la password, il sistema ci chiederà di fornire un secondo codice: questo è il codice OTP generato dall’app Google Authenticator.

Google Authenticator

L’app, una volta configurata per quell’account, genera ogni 30 secondi un codice numerico a 6 cifre. Questo codice è calcolato localmente sul dispositivo, basandosi su un algoritmo TOTP (Time-based One-Time Password) che utilizza:

  • una chiave segreta condivisa con il server del servizio
  • l’orario corrente del dispositivo

Poiché sia il server del servizio che l’app hanno la stessa chiave e sincronizzazione temporale, entrambi generano lo stesso codice nello stesso momento. L’utente lo inserisce nel modulo di login e, se il codice è valido e temporaneamente coerente, l’accesso viene autorizzato.

Tutto ciò avviene senza bisogno di una connessione internet attiva, né da parte dell’app né da parte del server che l’ha generata. È proprio questa semplicità e indipendenza che ha reso Google Authenticator così diffuso.

Una breve storia dell’applicazione

Google Authenticator è stato lanciato nel 2010 come risposta alla crescente necessità di implementare un secondo fattore di autenticazione sugli account Google, e successivamente reso disponibile anche per l’utilizzo con servizi di terze parti. Inizialmente disponibile solo per Android, è stato poi rilasciato anche su iOS.

Il suo funzionamento si basa sullo standard TOTP (Time-based One-Time Password) definito dalla RFC 6238, e sulla generazione di codici OTP sincronizzati con l’orologio del dispositivo. I codici vengono rigenerati ogni 30 secondi e non richiedono connessione internet o accesso al cloud per funzionare.

Per molti anni, Google Authenticator ha rappresentato la soluzione di riferimento per l’autenticazione a due fattori. Tuttavia, ha anche ricevuto critiche per l’assenza di funzionalità di backup e sincronizzazione, una mancanza colmata solo nel 2023 con l’introduzione della sincronizzazione cloud, che ha sollevato nuove problematiche legate alla sicurezza.

Piattaforme supportate

Google Authenticator è disponibile ufficialmente per:

  • Android (tramite Google Play Store)
  • iOS (tramite App Store)

L’app può essere utilizzata per generare codici OTP per qualsiasi servizio compatibile con lo standard TOTP, tra cui:

  • Google Account
  • Microsoft Account
  • Amazon Web Services (AWS)
  • GitHub
  • Dropbox
  • Facebook
  • Twitter (ora X)
  • Slack
  • WordPress
  • Hetzner, OVH, DigitalOcean e altri provider cloud
  • Servizi bancari che supportano OTP esterni

Inoltre, è compatibile anche con qualsiasi sistema personalizzato che supporti la generazione di codici TOTP attraverso una shared key (chiave segreta condivisa).

Il problema che dovrebbe risolvere: la debolezza delle sole password

Le password, da sole, non sono più considerate una misura sufficiente. Con attacchi di phishing sempre più sofisticati, database di password rubate che circolano nel dark web e la tendenza degli utenti a riutilizzare le stesse password su più servizi, l’autenticazione a due fattori (2FA) rappresenta oggi una misura minima di sicurezza.

Google Authenticator nasce proprio per ridurre il rischio che, anche in caso di furto delle credenziali, l’accesso agli account sia impedito senza il possesso fisico dello smartphone che genera le OTP.

La funzione di backup e sincronizzazione di Google: un’arma a doppio taglio

Nel 2023, Google ha introdotto una funzionalità molto discussa: la sincronizzazione automatica dei codici OTP con il proprio account Google. Questo significa che, nel caso di smarrimento o rottura dello smartphone, basta accedere nuovamente al proprio account Google su un nuovo dispositivo per recuperare i codici salvati.

A prima vista, questa funzionalità semplifica enormemente la gestione e il recupero delle OTP. Ma introduce anche un pericoloso punto di vulnerabilità: tutta la sicurezza dell’autenticazione a due fattori viene riportata a un singolo elemento compromettibile: l’account Gmail.

Se un attaccante riesce a ottenere le credenziali dell’account Google di una persona, può facilmente installare Google Authenticator su un proprio dispositivo e sincronizzare i codici OTP, vanificando completamente la protezione offerta dalla 2FA.

Un caso reale: 100 istanze cloud Hetzner attivate in pochi minuti

Questo articolo nasce a seguito di un grave incidente occorso a un nostro cliente.

Nel giro di pochi minuti, sul suo account Hetzner sono state attivate oltre 100 istanze cloud, con un costo potenziale di migliaia di euro. Inizialmente abbiamo ipotizzato un accesso con credenziali rubate e OTP bypassato in qualche modo. Dopo un’analisi approfondita, abbiamo scoperto che gli attaccanti erano riusciti a entrare nell’account Gmail del cliente.

Attivazioni istanze Cloud Hetzner

Da lì, hanno recuperato l’accesso a Hetzner utilizzando la procedura “recupera password” via email, e poi hanno usato Google Authenticator sincronizzato sull’account Google per ottenere le OTP necessarie per superare la 2FA.

Sommario istanze Cloud Hetzner

Risultato: l’intero meccanismo di sicurezza è crollato, nonostante l’adozione dell’autenticazione a due fattori.

La falsa sensazione di sicurezza

Questo caso mette in evidenza un punto fondamentale: molti utenti credono di essere al sicuro solo perché utilizzano l’OTP, ignorando che, se i codici OTP sono sincronizzati e accessibili da un servizio cloud vulnerabile (come può essere Gmail), l’intero impianto di sicurezza è fragile.

In altre parole, se la tua email è compromessa, è come se non avessi l’autenticazione a due fattori.

La soluzione: scollegare Google Authenticator dall’account Google

Google permette, anche se non lo promuove attivamente, di disabilitare la sincronizzazione dei codici OTP sull’account Google. Basta andare nelle impostazioni dell’app Google Authenticator e rimuovere l’associazione con il proprio account Google.

In questo modo, i codici OTP restano solo localmente sul dispositivo e non vengono sincronizzati nel cloud. Anche se qualcuno violasse la vostra Gmail, non avrebbe comunque accesso all’app Google Authenticator e ai relativi codici.

Ma questa soluzione presenta un problema: se si smarrisce o si rompe lo smartphone su cui è installata l’app non sincronizzata, non sarà più possibile accedere agli account protetti, a meno di avere backup manuali o codici di emergenza salvati in precedenza.

Best practice: clonare l’app su più dispositivi

La strategia migliore, quindi, è adottare un approccio ibrido che unisca la sicurezza della gestione locale alla ridondanza su più dispositivi, evitando la sincronizzazione cloud.

Import-2FA-Accounts-in-Google-Authenticator-on-new-iPhone

  1. Disabilitare la sincronizzazione cloud di Google Authenticator da ogni dispositivo: nelle impostazioni dell’app, rimuovere l’associazione con l’account Google.
  2. Utilizzare la funzione integrata di esportazione dell’app Google Authenticator: accedendo all’app, toccare l’icona dei tre puntini in alto a destra, quindi selezionare “Trasferisci account” → “Esporta account”. A questo punto si genererà un codice QR contenente tutti gli account configurati.
  3. Sul secondo dispositivo, aprire Google Authenticator e scegliere “Trasferisci account” → “Importa account”, quindi scansionare il QR code generato dal dispositivo principale. In questo modo tutti gli OTP vengono copiati in modo sicuro sul nuovo dispositivo, senza necessità di collegamento all’account Google.
  4. Conservare con attenzione il dispositivo secondario o effettuare il trasferimento su un terzo dispositivo per maggiore ridondanza.
  5. In alternativa, valutare l’utilizzo di app open source come Aegis Authenticator o FreeOTP, che offrono funzionalità avanzate come backup cifrati ed esportazioni manuali.

Questo metodo consente di avere una copia esatta di tutti gli OTP su più dispositivi, assicurandosi che in caso di smarrimento o guasto del telefono principale, sia comunque possibile accedere ai propri account protetti con 2FA, senza esporre i codici al cloud e senza dipendere dalla sincronizzazione automatica di Google.

Conclusione: proteggere l’OTP significa proteggere l’identità digitale

L’autenticazione a due fattori è una misura importante, ma non è infallibile. Affidarsi ciecamente a un’app OTP sincronizzata con il cloud può dare una falsa sensazione di sicurezza e diventare un punto di vulnerabilità.

Il caso del nostro cliente, che ha visto il proprio account Hetzner violato e compromesso con un danno potenziale altissimo, ci insegna che è fondamentale comprendere come funzionano davvero gli strumenti di sicurezza che utilizziamo, e configurare tutto con attenzione.

In un mondo sempre più connesso, proteggere le credenziali e le OTP significa proteggere la propria identità digitale, i propri dati e, spesso, anche il proprio portafoglio.

Non lasciate che la comodità del cloud comprometta la sicurezza dei vostri account.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

Torna in alto