Scegliere l’app di autenticazione giusta nel 2026 non è più una questione di gusti. Nel giro di diciotto mesi, le tre app più usate al mondo hanno cambiato volto: Twilio ha confermato il 1° luglio 2024 una violazione che ha esposto 33 milioni di numeri di telefono degli utenti Authy, Microsoft ha rimosso del tutto il gestore di password da Microsoft Authenticator entro il 1° agosto 2025, e Google Authenticator ha aggiunto il backup cifrato sul cloud dopo anni di immobilismo. Questo confronto mette a nudo Google Authenticator vs Microsoft Authenticator vs Authy con dati reali, tabelle tecniche, prezzi e una guida alla migrazione, per aiutarti a decidere quale proteggerà davvero i tuoi account.
La posta in gioco è alta. L’autenticazione a due fattori (2FA) basata su app blocca la stragrande maggioranza degli attacchi di phishing e di credential stuffing, molto più dell’SMS. Ma non tutte le app offrono la stessa sicurezza, lo stesso recupero in caso di smarrimento del telefono, o la stessa trasparenza. Qui trovi tutto, in italiano, con fonti verificabili e aggiornate al giugno 2026.
Cosa sono le app di autenticazione e perché contano nel 2026
Un’app di autenticazione genera codici temporanei a sei cifre che cambiano ogni 30 secondi. Lo standard che le governa si chiama TOTP (Time-based One-Time Password, RFC 6238). Quando attivi la 2FA su un servizio, questo ti mostra un codice QR. L’app legge un segreto condiviso (la “chiave”) da quel QR e da quel momento calcola i codici in locale, sul tuo dispositivo, senza bisogno di rete. Google Authenticator, Microsoft Authenticator e Authy supportano tutte e tre il TOTP, quindi i codici di base funzionano in modo identico su tutte.
La differenza non sta nel codice, sta in tutto il resto: come fai il backup del segreto, se puoi usarlo su più dispositivi, se i tuoi dati sono cifrati end-to-end, e cosa succede se perdi il telefono. Qui le tre app divergono in modo netto. Authy ha costruito la sua reputazione sulla sincronizzazione multi-dispositivo con backup cifrato. Microsoft punta sull’ecosistema Microsoft e sull’accesso senza password. Google offre la semplicità essenziale con un backup legato all’account Google.
Il contesto del 2026 rende la scelta urgente. Gli attacchi di “MFA fatigue”, in cui l’aggressore bombarda la vittima di richieste di approvazione finché qualcuno non clicca per sbaglio, hanno spinto i fornitori a introdurre il “number matching”, la corrispondenza di un numero che devi digitare per confermare l’accesso. Le passkey, le credenziali crittografiche che sostituiscono del tutto la password, stanno diventando lo standard, e Microsoft Authenticator le gestisce già. Un’app di autenticazione scelta male oggi può lasciarti senza accesso ai tuoi conti domani, o peggio, esporre il tuo numero di telefono a un attacco di SIM swapping.
Un esempio del segreto TOTP che viene scambiato durante la configurazione, nel formato standard otpauth, chiarisce cosa l’app conserva davvero:
otpauth://totp/GitHub:mario.rossi?secret=JBSWY3DPEHPK3PXP&issuer=GitHub&algorithm=SHA1&digits=6&period=30Il campo secret è l’unica informazione che conta. Chiunque lo possieda può generare i tuoi codici. Per questo il modo in cui un’app protegge e copia quel segreto è il vero metro di giudizio in questo confronto tra Google Authenticator, Microsoft Authenticator e Authy.
Google Authenticator vs Microsoft Authenticator vs Authy: tabella di confronto
Questa tabella riassume le differenze tecniche principali aggiornate al 2026. Tutte le voci sono verificate sulle fonti ufficiali e sui report di sicurezza citati in fondo all’articolo.
| Caratteristica | Google Authenticator | Microsoft Authenticator | Authy (Twilio) |
|---|---|---|---|
| Supporto TOTP | Sì | Sì | Sì |
| Prezzo | Gratis | Gratis | Gratis |
| Backup sul cloud | Sì (dal 2023, account Google) | Sì (account Microsoft) | Sì (cifrato) |
| Sincronizzazione multi-dispositivo | Ripristino, non sync attiva | Sì | Sì (funzione storica) |
| App desktop | No | No (solo mobile) | No (dismessa il 19 marzo 2024) |
| App web | No | No | No |
| Piattaforme | iOS, Android | iOS, Android | iOS, Android |
| Open source | No | No | No |
| Supporto passkey | No | Sì | No |
| Accesso senza password | No | Sì (account Microsoft) | No |
| Number matching (anti MFA fatigue) | No | Sì | No |
| Gestore di password integrato | No | Rimosso ad agosto 2025 | No |
| Esportazione codici | Sì (QR di trasferimento) | Sì (su nuovo dispositivo) | Limitata |
| Schermata privacy (nasconde i codici) | Sì | Sì (blocco app) | Sì (PIN/biometria) |
| Violazione di dati nota | Nessuna (lato app) | Nessuna (lato app) | Sì (33 mln numeri, luglio 2024) |
La lettura rapida è questa: Google Authenticator vince in semplicità, Microsoft Authenticator in funzioni avanzate e passkey, Authy in comodità multi-dispositivo ma con una macchia di sicurezza recente. Nessuna delle tre è open source, un punto che gli esperti di privacy considerano determinante e che affrontiamo più avanti.
Google Authenticator: la semplicità che ha aspettato troppo
Google Authenticator è l’app che ha reso popolare il TOTP. Per anni è stata anche la più spartana: nessun backup, nessuna sincronizzazione. Se perdevi il telefono, perdevi tutti i codici, e dovevi reimpostare la 2FA su ogni singolo account. Nel 2023 Google ha finalmente aggiunto il backup cifrato sul cloud legato all’account Google, una svolta che ha cambiato il giudizio sull’app.
Quel lancio, però, non fu privo di polemiche. Nell’aprile 2023 i ricercatori di sicurezza notarono che la nuova sincronizzazione sul cloud non era protetta con crittografia end-to-end: i segreti TOTP transitavano in una forma che Google, in teoria, avrebbe potuto leggere. Google rispose annunciando che avrebbe introdotto la cifratura end-to-end opzionale. Nel 2026 l’app resta comunque la scelta più immediata per chi vuole solo codici a sei cifre, senza account da creare e senza configurazioni.
Punti di forza di Google Authenticator
L’app è leggera, veloce ad aprirsi e non richiede registrazione per le funzioni di base. La schermata privacy nasconde i codici quando l’app è in background, una difesa utile contro chi sbircia lo schermo. La funzione di trasferimento via QR permette di spostare tutti i codici su un nuovo telefono mostrando un codice da scansionare, senza passare dal cloud. Per un utente che usa pochi servizi e tiene il telefono come unico dispositivo, Google Authenticator copre il 100% del bisogno reale a costo zero e con zero attrito.
Limiti di Google Authenticator
La sincronizzazione vera tra più dispositivi non esiste: il backup è un ripristino legato a un solo account Google, non un accesso simultaneo da telefono e tablet. Non c’è app desktop né web, quindi non puoi copiare un codice dal computer quando il telefono è scarico. Non ci sono passkey, non c’è accesso senza password, e l’app non è open source, quindi nessun ricercatore esterno può verificare integralmente come gestisce i segreti. Per profili tecnici esigenti, queste mancanze pesano.
Microsoft Authenticator: la svolta del 2025 con le password rimosse
Microsoft Authenticator è l’app più ricca di funzioni delle tre, ma nel 2025 ha vissuto un cambiamento radicale che ogni utente deve conoscere. Per anni l’app aveva incorporato un gestore di password completo, con riempimento automatico (autofill) nelle app e nei siti. Microsoft ha deciso di smantellarlo secondo un calendario preciso, spingendo gli utenti verso il browser Edge.
Le date confermate dalla documentazione e dai report di settore sono queste: da giugno 2025 non è più possibile salvare nuove password nell’app, da luglio 2025 l’autofill smette di funzionare e i dati di pagamento salvati vengono eliminati, e dal 1° agosto 2025 le password salvate non sono più accessibili dentro Authenticator. Gli utenti avevano tempo fino al 1° agosto 2025 per esportare le credenziali. Le testate The Hacker News e Tech Monitor hanno documentato la transizione in dettaglio.
Importante: la rimozione riguarda solo la gestione delle password. La funzione di autenticazione (codici TOTP, approvazioni push, passkey) resta intatta e gratuita. Microsoft ha confermato che il supporto alle passkey nell’app Authenticator continua. Se usavi l’app solo per i codici 2FA, per te non cambia nulla. Se la usavi come gestore di password, sei stato spostato su Edge o devi migrare a un gestore dedicato.
Funzioni esclusive di Microsoft Authenticator
L’accesso senza password all’account Microsoft è il fiore all’occhiello: invece di digitare la password, approvi una notifica sul telefono. Il number matching contrasta gli attacchi di MFA fatigue chiedendoti di digitare un numero mostrato sullo schermo del PC. Il supporto alle passkey rende l’app un punto unico per le credenziali crittografiche di nuova generazione. Per chi vive nell’ecosistema Microsoft 365, Azure o Entra ID, nessuna delle altre due app si avvicina a questo livello di integrazione.
Limiti di Microsoft Authenticator
L’app è solo mobile, senza versione desktop. La rimozione del gestore di password ha lasciato molti utenti spiazzati e costretti a migrare i dati in fretta entro l’agosto 2025. Come le altre due, non è open source. E la sua ricchezza di funzioni si traduce in un’interfaccia più carica, meno immediata per chi vuole solo un codice a sei cifre. Per un account Google o per servizi non Microsoft, gran parte delle funzioni avanzate semplicemente non si attiva.
Authy: il re della sincronizzazione colpito dalla violazione del 2024
Authy, di proprietà di Twilio, ha costruito il suo successo su una funzione che le altre due hanno faticato a eguagliare: la sincronizzazione cifrata su più dispositivi. Con Authy puoi avere gli stessi codici su telefono e tablet contemporaneamente, con un backup cifrato che ti permette di recuperare tutto su un dispositivo nuovo inserendo una password di backup. Per chi gestisce decine di account su più apparecchi, questa è sempre stata la comodità decisiva.
Il 2024 ha però incrinato quella reputazione su due fronti. Primo, il 19 marzo 2024 Twilio ha dismesso le app desktop di Authy per Windows, macOS e Linux, lasciando solo le versioni mobili. Migliaia di utenti che usavano Authy sul PC sono rimasti scoperti e hanno dovuto cercare alternative. Secondo, e ben più grave, il 1° luglio 2024 Twilio ha confermato una violazione: degli aggressori avevano sfruttato un endpoint API non autenticato per estrarre 33 milioni di numeri di telefono associati agli account Authy.
Va chiarito un punto cruciale per non allarmare oltre il dovuto: la violazione ha esposto i numeri di telefono, non i segreti TOTP né i codici 2FA. Gli account non sono stati compromessi direttamente. Ma un elenco di 33 milioni di numeri di utenti che usano la 2FA è materiale prezioso per campagne di phishing mirato e per attacchi di SIM swapping, in cui l’aggressore convince l’operatore a trasferire il numero su una SIM controllata da lui. Twilio ha chiuso l’endpoint e ha invitato gli utenti ad aggiornare l’app e a diffidare di SMS sospetti.
Authy resta una buona scelta?
La sincronizzazione multi-dispositivo con backup cifrato resta tecnicamente solida e comoda. Ma la combinazione tra la fine delle app desktop e l’esposizione di 33 milioni di numeri ha spinto molti utenti e molte community di sicurezza a riconsiderare Authy. Chi tiene alla minimizzazione dei dati nota che Authy richiede comunque un numero di telefono per funzionare, un requisito che né le alternative open source né, per i codici di base, Google Authenticator impongono.
Sicurezza a confronto: crittografia, backup e violazioni
La sicurezza di un’app di autenticazione si misura su tre assi: come protegge i segreti in locale, come li protegge nel backup sul cloud, e quale storia di incidenti ha alle spalle. Su tutti e tre, le tre app raccontano storie diverse.
In locale, tutte e tre cifrano i segreti e offrono un blocco con PIN o biometria. Nel backup sul cloud, Authy ha sempre cifrato i dati con una password di backup nota solo all’utente, un modello a conoscenza zero quando l’utente sceglie una password forte. Google, come visto, ha lanciato il backup nel 2023 senza crittografia end-to-end iniziale, sollevando critiche. Microsoft cifra il backup legato all’account Microsoft. Sul fronte degli incidenti, solo Authy ha subìto una violazione confermata che ha toccato i suoi utenti, anche se non i segreti 2FA.
Per dare un quadro comparativo, abbiamo raccolto i giudizi di sicurezza e usabilità da tre fonti indipendenti che hanno testato le app nel 2025 e 2026: la guida di Zapier “The 7 best authenticator apps”, la classifica di Gupta Deepak “Top 5 Two-Factor Authentication Apps of 2026” e la rassegna “Best Authy Alternatives of 2026” di Everykey. La tabella seguente sintetizza il posizionamento di ciascuna app secondo questi tre test.
| App | Zapier 2025 | Gupta Deepak 2026 | Everykey 2026 | Punto debole comune segnalato |
|---|---|---|---|---|
| Authy | Citata per la sync multi-dispositivo | “Best Overall” per sync e backup cifrato | Buona per il recupero facile | Richiede numero di telefono, violazione 2024 |
| Microsoft Authenticator | Confronto base solido | Forte nell’ecosistema Microsoft | Buona per recupero e passkey | Solo mobile, niente open source |
| Google Authenticator | Confronto base solido | “Honorable Mention”, la più semplice | Semplice ma essenziale | Niente sync reale, niente open source |
Il consenso tra le tre fonti è coerente: Authy resta tecnicamente la più completa per la sincronizzazione, Microsoft la più adatta a chi usa servizi Microsoft, Google la più semplice. Tutte e tre, però, sono software proprietario, e qui le community di privacy spingono verso alternative aperte come Aegis e 2FAS, che analizziamo più avanti.
Prezzi e disponibilità: quanto costa ogni app nel 2026
La buona notizia per il portafoglio è netta: tutte e tre le app sono gratuite per l’uso consumer, senza piani a pagamento per le funzioni di autenticazione. Non esiste una versione premium di Google Authenticator, Microsoft Authenticator o Authy che sblocchi codici aggiuntivi o sicurezza superiore. La tabella mette a confronto costi, requisiti e disponibilità sulle piattaforme, includendo anche le due alternative open source.
| Voce | Google Authenticator | Microsoft Authenticator | Authy | Aegis | 2FAS |
|---|---|---|---|---|---|
| Prezzo | Gratis | Gratis | Gratis | Gratis | Gratis |
| Account richiesto | Google (per backup) | Microsoft (per backup) | Numero di telefono | Nessuno | Nessuno |
| iOS | Sì | Sì | Sì | No | Sì |
| Android | Sì | Sì | Sì | Sì | Sì |
| Desktop | No | No | No | No | Estensione browser |
| Open source | No | No | No | Sì | Sì |
| Costo nascosto | Dati nell’account Google | Dati nell’account Microsoft | Numero esposto in caso di violazione | Nessuno noto | Nessuno noto |
Il “costo” reale non è in euro, è in dati e in dipendenza dall’ecosistema. Google e Microsoft legano il backup ai rispettivi account, Authy al tuo numero di telefono. Le alternative open source Aegis e 2FAS non chiedono nulla di tutto questo: nessun account, nessun numero, codice ispezionabile. Per chi mette la minimizzazione dei dati al primo posto, il vero risparmio è lì.
Esempi reali: 5 scenari d’uso a confronto
I numeri delle tabelle prendono vita quando li applichi a situazioni concrete. Ecco cinque scenari reali e quale app risponde meglio in ciascuno.
1. Il libero professionista con solo lo smartphone. Maria, commercialista a Milano, usa il telefono come unico dispositivo e gestisce una decina di account tra Agenzia delle Entrate, banca e posta elettronica. Per lei Google Authenticator è perfetto: zero configurazione, codici immediati, backup sull’account Google per il cambio telefono. Non le servono passkey né sincronizzazione su tablet.
2. Il dipendente di un’azienda su Microsoft 365. Luca lavora in un’impresa che usa Entra ID e Microsoft 365. Microsoft Authenticator è l’unica scelta sensata: accesso senza password all’account aziendale, number matching contro gli attacchi di MFA fatigue, e la stessa app gestisce anche le passkey. L’integrazione gli fa risparmiare decine di secondi a ogni accesso.
3. Lo sviluppatore con telefono, tablet e due computer. Sofia gestisce 60 account su quattro dispositivi e non vuole restare bloccata se ne perde uno. Authy resta la più comoda per la sincronizzazione, ma dopo la violazione del 2024 e la fine delle app desktop molti come lei stanno valutando 2FAS, che offre sincronizzazione e un’estensione per il browser restando open source.
4. L’attivista o il giornalista attento alla privacy. Per chi non vuole legare la 2FA a Google, Microsoft o al proprio numero di telefono, nessuna delle tre app principali è ideale. Aegis su Android, open source e senza account, è la scelta delle community di privacy. Conserva i segreti in un archivio cifrato locale che puoi esportare e custodire offline.
5. La famiglia non tecnica. Per i genitori che vogliono solo proteggere l’email e Facebook senza complicazioni, Google Authenticator vince per semplicità d’uso. L’interfaccia mostra solo i codici, senza menù di funzioni avanzate che potrebbero confondere. Il backup sull’account Google evita la catastrofe del “ho cambiato telefono e ho perso tutto”.
Cosa dicono gli esperti e gli enti di sicurezza
Sul tema autenticazione, le voci che contano davvero non sono quelle dei singoli influencer ma degli enti che definiscono gli standard e delle community che testano le app in modo indipendente. Ecco le posizioni documentate e verificabili al 2026.
La CISA, l’agenzia statunitense per la cybersicurezza, raccomanda da tempo la 2FA basata su app rispetto a quella via SMS, perché l’SMS è vulnerabile al SIM swapping. La sua guida “Turn on MFA” colloca le app di autenticazione e le chiavi hardware nella fascia più sicura, sopra i codici inviati per messaggio. La violazione Authy del 2024, che ha esposto numeri di telefono, è la dimostrazione pratica del perché legare la sicurezza a un numero sia un rischio.
Il NIST, l’ente statunitense per gli standard, nelle sue linee guida sull’identità digitale (SP 800-63) ha declassato l’SMS come fattore di autenticazione “ristretto”, spingendo verso autenticatori basati su software o hardware. Questo orientamento normativo favorisce indirettamente tutte e tre le app TOTP rispetto ai codici via messaggio, e in prospettiva le passkey gestite da Microsoft Authenticator.
La community Privacy Guides, un riferimento per gli utenti attenti alla riservatezza, sconsiglia di affidarsi a Google Authenticator e Microsoft Authenticator proprio perché sono proprietari e legati a grandi piattaforme, e raccomanda alternative open source come Aegis e 2FAS, il cui codice chiunque può ispezionare. Il dibattito sul loro forum, attivo anche nel 2026, ruota sul fatto che un’app di sicurezza dovrebbe essere verificabile, non una scatola nera.
Le testate specializzate che hanno seguito i due eventi chiave del biennio confermano i fatti: The Hacker News e Tech Monitor hanno documentato la rimozione del gestore password da Microsoft Authenticator nel 2025, mentre la copertura sulla violazione Twilio del luglio 2024 ha fissato la cifra di 33 milioni di numeri esposti. Queste non sono opinioni, sono fatti riportati da fonti verificabili e linkate in fondo all’articolo.
Alternative open source: Aegis e 2FAS
Nessuna delle tre app principali è open source, e per una fetta crescente di utenti questo è un limite invalicabile. Un’app di sicurezza che nessun ricercatore esterno può verificare richiede fiducia cieca nel produttore. Due alternative gratuite e a codice aperto hanno conquistato le community tecniche e meritano un posto in questo confronto.
2FAS è un’app gratuita e open source, disponibile su iOS e Android, con un’estensione per il browser che permette di copiare i codici dal computer. Il sito ufficiale la descrive come “100% gratuita” e priva di raccolta dati invasiva. Non richiede né account né numero di telefono, e offre un backup che resta sotto il controllo dell’utente. Per chi cerca la comodità di Authy senza il numero di telefono e senza il codice chiuso, 2FAS è la candidata naturale.
Aegis Authenticator è un’app gratuita e open source per Android, molto amata dalle community di privacy. Conserva i segreti in un archivio cifrato locale, protetto da password o biometria, e permette di esportarli per custodirli offline. Non c’è cloud, non c’è account, non c’è telefono da registrare: i tuoi segreti restano solo sul tuo dispositivo e nel backup che gestisci tu. Lo svantaggio è l’assenza di una versione iOS e la mancanza di sincronizzazione automatica, il prezzo della massima riservatezza.
Per chi viene dal mondo dei wallet crypto o gestisce segreti sensibili, la logica di Aegis è familiare: il controllo locale batte la comodità del cloud. È lo stesso principio del cold storage applicato ai codici 2FA. Se questo approccio ti interessa, la nostra guida alla sicurezza contro il ransomware in Italia spiega perché i backup offline sono la difesa più solida.
Guida alla migrazione: come cambiare app senza perdere i codici
Cambiare app di autenticazione spaventa perché un errore può lasciarti fuori dai tuoi account. La regola d’oro è una: non rimuovere mai la 2FA dal vecchio sistema finché non hai confermato che il nuovo funziona. Ecco la procedura sicura, passo dopo passo, valida per migrare tra Google Authenticator, Microsoft Authenticator, Authy o verso Aegis e 2FAS.
Passo 1, fai l’inventario. Apri la vecchia app e annota ogni account protetto. Servizi bancari, email, social, exchange di criptovalute, account di lavoro. Procurati i codici di recupero di ciascun servizio, quei codici monouso che ti permettono di rientrare se perdi del tutto l’accesso 2FA. Conservali offline.
Passo 2, usa l’esportazione dove esiste. Google Authenticator offre un trasferimento via QR: tocca i tre puntini, scegli “Trasferisci account”, “Esporta account”, e l’app genera uno o più codici QR da scansionare con la nuova app. Funziona solo verso app che supportano l’importazione di quel formato, come 2FAS o Aegis. Authy non offre un’esportazione standard dei segreti, quindi da Authy spesso serve riconfigurare manualmente.
Passo 3, riconfigura account per account quando serve. Per i servizi che non importi via QR, accedi alle impostazioni di sicurezza di ciascuno, disattiva la vecchia 2FA e riattivala scansionando il nuovo QR con la nuova app. Fallo un account alla volta, verificando ogni volta che il nuovo codice funzioni prima di passare al successivo. La sequenza tipica:
1. Accedi al servizio (es. github.com/settings/security)
2. Disattiva la 2FA esistente (ti verra chiesto un codice attuale)
3. Riattiva la 2FA -> "App di autenticazione"
4. Scansiona il nuovo QR con la nuova app
5. Inserisci il codice generato per confermare
6. Salva i nuovi codici di recupero offline
7. Ripeti per ogni accountPasso 4, verifica e solo dopo cancella. Quando ogni account funziona sulla nuova app, e solo allora, disinstalla la vecchia. Se migri da Authy dopo la violazione del 2024, valuta di chiedere all’operatore telefonico di attivare le protezioni anti SIM swapping, dato che il tuo numero potrebbe essere nell’elenco esposto.
Pro e contro di ciascuna app
Sintesi dei vantaggi e degli svantaggi reali, basata sui dati di questo confronto.
Google Authenticator, pro: semplicità assoluta, nessuna registrazione per l’uso base, schermata privacy, trasferimento via QR, backup sull’account Google dal 2023. Contro: niente sincronizzazione multi-dispositivo reale, niente desktop, niente passkey, codice chiuso, polemica 2023 sulla cifratura del backup.
Microsoft Authenticator, pro: accesso senza password, number matching contro l’MFA fatigue, supporto passkey, integrazione totale con l’ecosistema Microsoft, backup cifrato. Contro: ha eliminato il gestore di password nel 2025 costringendo gli utenti a migrare, solo mobile, codice chiuso, interfaccia più carica.
Authy, pro: sincronizzazione multi-dispositivo storica, backup cifrato con password utente, recupero facile su nuovo dispositivo. Contro: violazione del luglio 2024 con 33 milioni di numeri esposti, app desktop dismesse a marzo 2024, richiede un numero di telefono, codice chiuso.
Quale scegliere: 5 raccomandazioni per caso d’uso
Non esiste un vincitore unico, esiste l’app giusta per il tuo profilo. Ecco le raccomandazioni nette.
- Vuoi la massima semplicità con un solo telefono: scegli Google Authenticator. Copre tutto il necessario a zero attrito.
- Lavori nell’ecosistema Microsoft 365 o Entra ID: scegli Microsoft Authenticator. Accesso senza password e passkey non hanno rivali qui.
- Usi molti dispositivi e vuoi la sincronizzazione: Authy resta comoda, ma valuta 2FAS open source come alternativa più moderna e senza numero di telefono.
- Metti la privacy e il codice aperto al primo posto: scegli Aegis su Android o 2FAS su iOS e Android. Nessun account, nessun numero, codice verificabile.
- Devi proteggere account ad altissimo valore (banca, exchange crypto): affianca all’app TOTP una chiave hardware FIDO2 dove supportata, e conserva i codici di recupero offline.
Verdetto finale: il confronto in una frase
Se dovessimo condensare l’intero confronto in un verdetto basato sui dati: Google Authenticator è la scelta migliore per la maggioranza degli utenti comuni che vogliono solo codici sicuri senza complicazioni, ora che il backup sul cloud ha eliminato il suo difetto storico. Microsoft Authenticator è imbattibile per chi vive nell’ecosistema Microsoft e vuole passkey e accesso senza password, a patto di sapere che il gestore di password è stato rimosso nel 2025. Authy resta tecnicamente valida per la sincronizzazione, ma la violazione di 33 milioni di numeri del 2024 e la fine delle app desktop la rendono difficile da consigliare oggi rispetto alle alternative open source.
Il dato che cambia tutto, però, è un altro: nessuna delle tre è open source. Per chi prende sul serio il principio che la sicurezza si verifica e non si concede per fede, Aegis e 2FAS sono le vere vincitrici di questo confronto nel 2026. Gratuite, a codice aperto, senza account né numero di telefono. La scelta finale dipende da quanto valore dai alla comodità del cloud rispetto al controllo totale dei tuoi segreti.
Domande frequenti su Google Authenticator, Microsoft Authenticator e Authy
Qual è l’app di autenticazione più sicura nel 2026?
Per la sicurezza dei codici TOTP, tutte e tre sono solide perché generano i codici in locale. Le community di privacy considerano però le alternative open source Aegis e 2FAS più affidabili, perché il loro codice è verificabile. Authy ha l’unica violazione confermata del gruppo, anche se non ha esposto i segreti 2FA ma i numeri di telefono.
La violazione di Authy del 2024 ha compromesso i miei codici?
No. La violazione confermata da Twilio il 1° luglio 2024 ha esposto 33 milioni di numeri di telefono, non i segreti TOTP né i codici 2FA. I tuoi account non sono stati compromessi direttamente, ma il tuo numero potrebbe essere usato per phishing mirato o tentativi di SIM swapping. Aggiorna l’app e attiva le protezioni anti SIM swapping con il tuo operatore.
Posso ancora usare Microsoft Authenticator come gestore di password?
No. Microsoft ha rimosso il gestore di password e l’autofill secondo un calendario che si è concluso il 1° agosto 2025, quando le password salvate sono diventate inaccessibili nell’app. La funzione di autenticazione (codici, push, passkey) resta intatta. Se usavi l’app per le password, sei stato spostato su Microsoft Edge o devi migrare a un gestore dedicato.
Google Authenticator sincronizza su più dispositivi?
Non in senso pieno. Dal 2023 offre un backup cifrato legato all’account Google che permette di ripristinare i codici su un nuovo telefono, ma non un accesso simultaneo da più dispositivi come fa Authy. Per la sincronizzazione vera serve Authy o un’alternativa come 2FAS.
Le app di autenticazione sono davvero gratis?
Sì. Google Authenticator, Microsoft Authenticator, Authy, Aegis e 2FAS sono tutte gratuite per l’uso consumer, senza piani a pagamento per le funzioni di autenticazione. Il “costo” reale è nei dati: Google e Microsoft legano il backup ai loro account, Authy al tuo numero di telefono. Le alternative open source non chiedono nulla.
Conviene passare alle passkey invece dei codici 2FA?
Dove supportate, le passkey sono più sicure dei codici TOTP perché resistono al phishing per progettazione. Microsoft Authenticator le gestisce già nel 2026. Tuttavia molti servizi supportano ancora solo il TOTP, quindi nel 2026 la strategia migliore è usare le passkey dove disponibili e mantenere un’app TOTP per tutto il resto.
Cosa succede se perdo il telefono con l’app di autenticazione?
Dipende dal backup. Con Authy o con il backup attivo di Google e Microsoft, ripristini i codici sul nuovo telefono accedendo all’account o inserendo la password di backup. Senza backup, e senza i codici di recupero dei singoli servizi salvati offline, rischi di restare bloccato. Per questo i codici di recupero vanno sempre conservati separatamente.
Aegis e 2FAS sono affidabili come le app dei grandi marchi?
Sì, e per molti aspetti di più. Essendo open source, il loro codice è ispezionabile da chiunque, un livello di trasparenza che Google, Microsoft e Authy non offrono. 2FAS funziona su iOS e Android con estensione browser, Aegis è solo Android ma con il massimo del controllo locale. Sono le scelte preferite dalle community di privacy nel 2026.
Related Coverage
- Ransomware in Italia 2026: i dati Clusit e come difendersi
- Phishing nel browser: la minaccia che cresce del 140%
- Attacco Ivanti: la falla CVSS 9.8 che ha colpito l’UE
- Sicurezza delle password: cosa protegge davvero gli account
- HTTPS e TLS spiegati: cosa significa davvero il lucchetto
- Violazioni dei dati: come avvengono e come proteggersi
- Sicurezza online: la guida pratica completa
Fonti e approfondimenti
- The Hacker News: Microsoft rimuove la gestione password da Authenticator
- Tech Monitor: il calendario di rimozione dell’autofill
- The Hacker News: la violazione di Authy e i 33 milioni di numeri
- Twilio: avviso di sicurezza ufficiale su Authy
- Microsoft Learn: metodi di autenticazione e passkey
- Supporto Google: guida ufficiale a Google Authenticator
- Sito ufficiale di 2FAS (open source)
- Sito ufficiale di Aegis Authenticator (open source)
