{"id":57,"date":"2026-06-11T12:41:57","date_gmt":"2026-06-11T12:41:57","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/11\/google-authenticator-vs-microsoft-vs-authy\/"},"modified":"2026-06-11T12:41:57","modified_gmt":"2026-06-11T12:41:57","slug":"google-authenticator-vs-microsoft-vs-authy","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/11\/google-authenticator-vs-microsoft-vs-authy\/","title":{"rendered":"Google vs Microsoft vs Authy: 33M Esposti [2026]"},"content":{"rendered":"\n

Scegliere l’app di autenticazione giusta nel 2026 non \u00e8 pi\u00f9 una questione di gusti. Nel giro di diciotto mesi, le tre app pi\u00f9 usate al mondo hanno cambiato volto: Twilio ha confermato il 1\u00b0 luglio 2024 una violazione che ha esposto 33 milioni di numeri di telefono degli utenti Authy, Microsoft ha rimosso del tutto il gestore di password da Microsoft Authenticator entro il 1\u00b0 agosto 2025, e Google Authenticator ha aggiunto il backup cifrato sul cloud dopo anni di immobilismo. Questo confronto mette a nudo Google Authenticator vs Microsoft Authenticator vs Authy<\/strong> con dati reali, tabelle tecniche, prezzi e una guida alla migrazione, per aiutarti a decidere quale protegger\u00e0 davvero i tuoi account.<\/p>\n\n\n\n

La posta in gioco \u00e8 alta. L’autenticazione a due fattori (2FA) basata su app blocca la stragrande maggioranza degli attacchi di phishing e di credential stuffing, molto pi\u00f9 dell’SMS. Ma non tutte le app offrono la stessa sicurezza, lo stesso recupero in caso di smarrimento del telefono, o la stessa trasparenza. Qui trovi tutto, in italiano, con fonti verificabili e aggiornate al giugno 2026.<\/p>\n\n\n\n

Cosa sono le app di autenticazione e perch\u00e9 contano nel 2026<\/h2>\n\n\n\n

Un’app di autenticazione genera codici temporanei a sei cifre che cambiano ogni 30 secondi. Lo standard che le governa si chiama TOTP (Time-based One-Time Password, RFC 6238). Quando attivi la 2FA su un servizio, questo ti mostra un codice QR. L’app legge un segreto condiviso (la “chiave”) da quel QR e da quel momento calcola i codici in locale, sul tuo dispositivo, senza bisogno di rete. Google Authenticator, Microsoft Authenticator e Authy supportano tutte e tre il TOTP, quindi i codici di base funzionano in modo identico su tutte.<\/p>\n\n\n\n

La differenza non sta nel codice, sta in tutto il resto: come fai il backup del segreto, se puoi usarlo su pi\u00f9 dispositivi, se i tuoi dati sono cifrati end-to-end, e cosa succede se perdi il telefono. Qui le tre app divergono in modo netto. Authy ha costruito la sua reputazione sulla sincronizzazione multi-dispositivo con backup cifrato. Microsoft punta sull’ecosistema Microsoft e sull’accesso senza password. Google offre la semplicit\u00e0 essenziale con un backup legato all’account Google.<\/p>\n\n\n\n

Il contesto del 2026 rende la scelta urgente. Gli attacchi di “MFA fatigue”, in cui l’aggressore bombarda la vittima di richieste di approvazione finch\u00e9 qualcuno non clicca per sbaglio, hanno spinto i fornitori a introdurre il “number matching”, la corrispondenza di un numero che devi digitare per confermare l’accesso. Le passkey, le credenziali crittografiche che sostituiscono del tutto la password, stanno diventando lo standard, e Microsoft Authenticator le gestisce gi\u00e0. Un’app di autenticazione scelta male oggi pu\u00f2 lasciarti senza accesso ai tuoi conti domani, o peggio, esporre il tuo numero di telefono a un attacco di SIM swapping.<\/p>\n\n\n\n

Un esempio del segreto TOTP che viene scambiato durante la configurazione, nel formato standard otpauth<\/code>, chiarisce cosa l’app conserva davvero:<\/p>\n\n\n\n

otpauth:\/\/totp\/GitHub:mario.rossi?secret=JBSWY3DPEHPK3PXP&issuer=GitHub&algorithm=SHA1&digits=6&period=30<\/code><\/pre>\n\n\n\n
Il campo secret<\/code> \u00e8 l’unica informazione che conta. Chiunque lo possieda pu\u00f2 generare i tuoi codici. Per questo il modo in cui un’app protegge e copia quel segreto \u00e8 il vero metro di giudizio in questo confronto tra Google Authenticator, Microsoft Authenticator e Authy.<\/p>\n\n\n\n
Google Authenticator vs Microsoft Authenticator vs Authy: tabella di confronto<\/h2>\n\n\n\n
Questa tabella riassume le differenze tecniche principali aggiornate al 2026. Tutte le voci sono verificate sulle fonti ufficiali e sui report di sicurezza citati in fondo all’articolo.<\/p>\n\n\n\n
\n
Caratteristica<\/th>Google Authenticator<\/th>Microsoft Authenticator<\/th>Authy (Twilio)<\/th><\/tr><\/thead>
Supporto TOTP<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td><\/tr>\n
Prezzo<\/td>Gratis<\/td>Gratis<\/td>Gratis<\/td><\/tr>\n
Backup sul cloud<\/td>S\u00ec (dal 2023, account Google)<\/td>S\u00ec (account Microsoft)<\/td>S\u00ec (cifrato)<\/td><\/tr>\n
Sincronizzazione multi-dispositivo<\/td>Ripristino, non sync attiva<\/td>S\u00ec<\/td>S\u00ec (funzione storica)<\/td><\/tr>\n
App desktop<\/td>No<\/td>No (solo mobile)<\/td>No (dismessa il 19 marzo 2024)<\/td><\/tr>\n
App web<\/td>No<\/td>No<\/td>No<\/td><\/tr>\n
Piattaforme<\/td>iOS, Android<\/td>iOS, Android<\/td>iOS, Android<\/td><\/tr>\n
Open source<\/td>No<\/td>No<\/td>No<\/td><\/tr>\n
Supporto passkey<\/td>No<\/td>S\u00ec<\/td>No<\/td><\/tr>\n
Accesso senza password<\/td>No<\/td>S\u00ec (account Microsoft)<\/td>No<\/td><\/tr>\n
Number matching (anti MFA fatigue)<\/td>No<\/td>S\u00ec<\/td>No<\/td><\/tr>\n
Gestore di password integrato<\/td>No<\/td>Rimosso ad agosto 2025<\/td>No<\/td><\/tr>\n
Esportazione codici<\/td>S\u00ec (QR di trasferimento)<\/td>S\u00ec (su nuovo dispositivo)<\/td>Limitata<\/td><\/tr>\n
Schermata privacy (nasconde i codici)<\/td>S\u00ec<\/td>S\u00ec (blocco app)<\/td>S\u00ec (PIN\/biometria)<\/td><\/tr>\n
Violazione di dati nota<\/td>Nessuna (lato app)<\/td>Nessuna (lato app)<\/td>S\u00ec (33 mln numeri, luglio 2024)<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n
La lettura rapida \u00e8 questa: Google Authenticator vince in semplicit\u00e0, Microsoft Authenticator in funzioni avanzate e passkey, Authy in comodit\u00e0 multi-dispositivo ma con una macchia di sicurezza recente. Nessuna delle tre \u00e8 open source, un punto che gli esperti di privacy considerano determinante e che affrontiamo pi\u00f9 avanti.<\/p>\n\n\n\n
Google Authenticator: la semplicit\u00e0 che ha aspettato troppo<\/h2>\n\n\n\n
Google Authenticator \u00e8 l’app che ha reso popolare il TOTP. Per anni \u00e8 stata anche la pi\u00f9 spartana: nessun backup, nessuna sincronizzazione. Se perdevi il telefono, perdevi tutti i codici, e dovevi reimpostare la 2FA su ogni singolo account. Nel 2023 Google ha finalmente aggiunto il backup cifrato sul cloud legato all’account Google, una svolta che ha cambiato il giudizio sull’app.<\/p>\n\n\n\n
Quel lancio, per\u00f2, non fu privo di polemiche. Nell’aprile 2023 i ricercatori di sicurezza notarono che la nuova sincronizzazione sul cloud non era protetta con crittografia end-to-end: i segreti TOTP transitavano in una forma che Google, in teoria, avrebbe potuto leggere. Google rispose annunciando che avrebbe introdotto la cifratura end-to-end opzionale. Nel 2026 l’app resta comunque la scelta pi\u00f9 immediata per chi vuole solo codici a sei cifre, senza account da creare e senza configurazioni.<\/p>\n\n\n\n
Punti di forza di Google Authenticator<\/h3>\n\n\n\n
L’app \u00e8 leggera, veloce ad aprirsi e non richiede registrazione per le funzioni di base. La schermata privacy nasconde i codici quando l’app \u00e8 in background, una difesa utile contro chi sbircia lo schermo. La funzione di trasferimento via QR permette di spostare tutti i codici su un nuovo telefono mostrando un codice da scansionare, senza passare dal cloud. Per un utente che usa pochi servizi e tiene il telefono come unico dispositivo, Google Authenticator copre il 100% del bisogno reale a costo zero e con zero attrito.<\/p>\n\n\n\n
Limiti di Google Authenticator<\/h3>\n\n\n\n
La sincronizzazione vera tra pi\u00f9 dispositivi non esiste: il backup \u00e8 un ripristino legato a un solo account Google, non un accesso simultaneo da telefono e tablet. Non c’\u00e8 app desktop n\u00e9 web, quindi non puoi copiare un codice dal computer quando il telefono \u00e8 scarico. Non ci sono passkey, non c’\u00e8 accesso senza password, e l’app non \u00e8 open source, quindi nessun ricercatore esterno pu\u00f2 verificare integralmente come gestisce i segreti. Per profili tecnici esigenti, queste mancanze pesano.<\/p>\n\n\n\n
Microsoft Authenticator: la svolta del 2025 con le password rimosse<\/h2>\n\n\n\n
Microsoft Authenticator \u00e8 l’app pi\u00f9 ricca di funzioni delle tre, ma nel 2025 ha vissuto un cambiamento radicale che ogni utente deve conoscere. Per anni l’app aveva incorporato un gestore di password completo, con riempimento automatico (autofill) nelle app e nei siti. Microsoft ha deciso di smantellarlo secondo un calendario preciso, spingendo gli utenti verso il browser Edge.<\/p>\n\n\n\n
Le date confermate dalla documentazione e dai report di settore sono queste: da giugno 2025 non \u00e8 pi\u00f9 possibile salvare nuove password nell’app, da luglio 2025 l’autofill smette di funzionare e i dati di pagamento salvati vengono eliminati, e dal 1\u00b0 agosto 2025 le password salvate non sono pi\u00f9 accessibili dentro Authenticator. Gli utenti avevano tempo fino al 1\u00b0 agosto 2025 per esportare le credenziali. Le testate The Hacker News e Tech Monitor hanno documentato la transizione in dettaglio.<\/p>\n\n\n\n
Importante: la rimozione riguarda solo la gestione delle password. La funzione di autenticazione (codici TOTP, approvazioni push, passkey) resta intatta e gratuita. Microsoft ha confermato che il supporto alle passkey nell’app Authenticator continua. Se usavi l’app solo per i codici 2FA, per te non cambia nulla. Se la usavi come gestore di password, sei stato spostato su Edge o devi migrare a un gestore dedicato.<\/p>\n\n\n\n
Funzioni esclusive di Microsoft Authenticator<\/h3>\n\n\n\n
L’accesso senza password all’account Microsoft \u00e8 il fiore all’occhiello: invece di digitare la password, approvi una notifica sul telefono. Il number matching contrasta gli attacchi di MFA fatigue chiedendoti di digitare un numero mostrato sullo schermo del PC. Il supporto alle passkey rende l’app un punto unico per le credenziali crittografiche di nuova generazione. Per chi vive nell’ecosistema Microsoft 365, Azure o Entra ID, nessuna delle altre due app si avvicina a questo livello di integrazione.<\/p>\n\n\n\n
Limiti di Microsoft Authenticator<\/h3>\n\n\n\n
L’app \u00e8 solo mobile, senza versione desktop. La rimozione del gestore di password ha lasciato molti utenti spiazzati e costretti a migrare i dati in fretta entro l’agosto 2025. Come le altre due, non \u00e8 open source. E la sua ricchezza di funzioni si traduce in un’interfaccia pi\u00f9 carica, meno immediata per chi vuole solo un codice a sei cifre. Per un account Google o per servizi non Microsoft, gran parte delle funzioni avanzate semplicemente non si attiva.<\/p>\n\n\n\n
Authy: il re della sincronizzazione colpito dalla violazione del 2024<\/h2>\n\n\n\n
Authy, di propriet\u00e0 di Twilio, ha costruito il suo successo su una funzione che le altre due hanno faticato a eguagliare: la sincronizzazione cifrata su pi\u00f9 dispositivi. Con Authy puoi avere gli stessi codici su telefono e tablet contemporaneamente, con un backup cifrato che ti permette di recuperare tutto su un dispositivo nuovo inserendo una password di backup. Per chi gestisce decine di account su pi\u00f9 apparecchi, questa \u00e8 sempre stata la comodit\u00e0 decisiva.<\/p>\n\n\n\n
Il 2024 ha per\u00f2 incrinato quella reputazione su due fronti. Primo, il 19 marzo 2024 Twilio ha dismesso le app desktop di Authy per Windows, macOS e Linux, lasciando solo le versioni mobili. Migliaia di utenti che usavano Authy sul PC sono rimasti scoperti e hanno dovuto cercare alternative. Secondo, e ben pi\u00f9 grave, il 1\u00b0 luglio 2024 Twilio ha confermato una violazione: degli aggressori avevano sfruttato un endpoint API non autenticato per estrarre 33 milioni di numeri di telefono associati agli account Authy.<\/p>\n\n\n\n
Va chiarito un punto cruciale per non allarmare oltre il dovuto: la violazione ha esposto i numeri di telefono, non i segreti TOTP n\u00e9 i codici 2FA. Gli account non sono stati compromessi direttamente. Ma un elenco di 33 milioni di numeri di utenti che usano la 2FA \u00e8 materiale prezioso per campagne di phishing mirato e per attacchi di SIM swapping, in cui l’aggressore convince l’operatore a trasferire il numero su una SIM controllata da lui. Twilio ha chiuso l’endpoint e ha invitato gli utenti ad aggiornare l’app e a diffidare di SMS sospetti.<\/p>\n\n\n\n
Authy resta una buona scelta?<\/h3>\n\n\n\n
La sincronizzazione multi-dispositivo con backup cifrato resta tecnicamente solida e comoda. Ma la combinazione tra la fine delle app desktop e l’esposizione di 33 milioni di numeri ha spinto molti utenti e molte community di sicurezza a riconsiderare Authy. Chi tiene alla minimizzazione dei dati nota che Authy richiede comunque un numero di telefono per funzionare, un requisito che n\u00e9 le alternative open source n\u00e9, per i codici di base, Google Authenticator impongono.<\/p>\n\n\n\n
Sicurezza a confronto: crittografia, backup e violazioni<\/h2>\n\n\n\n
La sicurezza di un’app di autenticazione si misura su tre assi: come protegge i segreti in locale, come li protegge nel backup sul cloud, e quale storia di incidenti ha alle spalle. Su tutti e tre, le tre app raccontano storie diverse.<\/p>\n\n\n\n
In locale, tutte e tre cifrano i segreti e offrono un blocco con PIN o biometria. Nel backup sul cloud, Authy ha sempre cifrato i dati con una password di backup nota solo all’utente, un modello a conoscenza zero quando l’utente sceglie una password forte. Google, come visto, ha lanciato il backup nel 2023 senza crittografia end-to-end iniziale, sollevando critiche. Microsoft cifra il backup legato all’account Microsoft. Sul fronte degli incidenti, solo Authy ha sub\u00ecto una violazione confermata che ha toccato i suoi utenti, anche se non i segreti 2FA.<\/p>\n\n\n\n
Per dare un quadro comparativo, abbiamo raccolto i giudizi di sicurezza e usabilit\u00e0 da tre fonti indipendenti che hanno testato le app nel 2025 e 2026: la guida di Zapier “The 7 best authenticator apps”, la classifica di Gupta Deepak “Top 5 Two-Factor Authentication Apps of 2026” e la rassegna “Best Authy Alternatives of 2026” di Everykey. La tabella seguente sintetizza il posizionamento di ciascuna app secondo questi tre test.<\/p>\n\n\n\n
\n
App<\/th>Zapier 2025<\/th>Gupta Deepak 2026<\/th>Everykey 2026<\/th>Punto debole comune segnalato<\/th><\/tr><\/thead>
Authy<\/td>Citata per la sync multi-dispositivo<\/td>“Best Overall” per sync e backup cifrato<\/td>Buona per il recupero facile<\/td>Richiede numero di telefono, violazione 2024<\/td><\/tr>\n
Microsoft Authenticator<\/td>Confronto base solido<\/td>Forte nell’ecosistema Microsoft<\/td>Buona per recupero e passkey<\/td>Solo mobile, niente open source<\/td><\/tr>\n
Google Authenticator<\/td>Confronto base solido<\/td>“Honorable Mention”, la pi\u00f9 semplice<\/td>Semplice ma essenziale<\/td>Niente sync reale, niente open source<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n
Il consenso tra le tre fonti \u00e8 coerente: Authy resta tecnicamente la pi\u00f9 completa per la sincronizzazione, Microsoft la pi\u00f9 adatta a chi usa servizi Microsoft, Google la pi\u00f9 semplice. Tutte e tre, per\u00f2, sono software proprietario, e qui le community di privacy spingono verso alternative aperte come Aegis e 2FAS, che analizziamo pi\u00f9 avanti.<\/p>\n\n\n\n
Prezzi e disponibilit\u00e0: quanto costa ogni app nel 2026<\/h2>\n\n\n\n
La buona notizia per il portafoglio \u00e8 netta: tutte e tre le app sono gratuite per l’uso consumer, senza piani a pagamento per le funzioni di autenticazione. Non esiste una versione premium di Google Authenticator, Microsoft Authenticator o Authy che sblocchi codici aggiuntivi o sicurezza superiore. La tabella mette a confronto costi, requisiti e disponibilit\u00e0 sulle piattaforme, includendo anche le due alternative open source.<\/p>\n\n\n\n
\n
Voce<\/th>Google Authenticator<\/th>Microsoft Authenticator<\/th>Authy<\/th>Aegis<\/th>2FAS<\/th><\/tr><\/thead>
Prezzo<\/td>Gratis<\/td>Gratis<\/td>Gratis<\/td>Gratis<\/td>Gratis<\/td><\/tr>\n
Account richiesto<\/td>Google (per backup)<\/td>Microsoft (per backup)<\/td>Numero di telefono<\/td>Nessuno<\/td>Nessuno<\/td><\/tr>\n
iOS<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>No<\/td>S\u00ec<\/td><\/tr>\n
Android<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td><\/tr>\n
Desktop<\/td>No<\/td>No<\/td>No<\/td>No<\/td>Estensione browser<\/td><\/tr>\n
Open source<\/td>No<\/td>No<\/td>No<\/td>S\u00ec<\/td>S\u00ec<\/td><\/tr>\n
Costo nascosto<\/td>Dati nell’account Google<\/td>Dati nell’account Microsoft<\/td>Numero esposto in caso di violazione<\/td>Nessuno noto<\/td>Nessuno noto<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n
Il “costo” reale non \u00e8 in euro, \u00e8 in dati e in dipendenza dall’ecosistema. Google e Microsoft legano il backup ai rispettivi account, Authy al tuo numero di telefono. Le alternative open source Aegis e 2FAS non chiedono nulla di tutto questo: nessun account, nessun numero, codice ispezionabile. Per chi mette la minimizzazione dei dati al primo posto, il vero risparmio \u00e8 l\u00ec.<\/p>\n\n\n\n
Esempi reali: 5 scenari d’uso a confronto<\/h2>\n\n\n\n
I numeri delle tabelle prendono vita quando li applichi a situazioni concrete. Ecco cinque scenari reali e quale app risponde meglio in ciascuno.<\/p>\n\n\n\n
1. Il libero professionista con solo lo smartphone.<\/strong> Maria, commercialista a Milano, usa il telefono come unico dispositivo e gestisce una decina di account tra Agenzia delle Entrate, banca e posta elettronica. Per lei Google Authenticator \u00e8 perfetto: zero configurazione, codici immediati, backup sull’account Google per il cambio telefono. Non le servono passkey n\u00e9 sincronizzazione su tablet.<\/p>\n\n\n\n
2. Il dipendente di un’azienda su Microsoft 365.<\/strong> Luca lavora in un’impresa che usa Entra ID e Microsoft 365. Microsoft Authenticator \u00e8 l’unica scelta sensata: accesso senza password all’account aziendale, number matching contro gli attacchi di MFA fatigue, e la stessa app gestisce anche le passkey. L’integrazione gli fa risparmiare decine di secondi a ogni accesso.<\/p>\n\n\n\n
3. Lo sviluppatore con telefono, tablet e due computer.<\/strong> Sofia gestisce 60 account su quattro dispositivi e non vuole restare bloccata se ne perde uno. Authy resta la pi\u00f9 comoda per la sincronizzazione, ma dopo la violazione del 2024 e la fine delle app desktop molti come lei stanno valutando 2FAS, che offre sincronizzazione e un’estensione per il browser restando open source.<\/p>\n\n\n\n
4. L’attivista o il giornalista attento alla privacy.<\/strong> Per chi non vuole legare la 2FA a Google, Microsoft o al proprio numero di telefono, nessuna delle tre app principali \u00e8 ideale. Aegis su Android, open source e senza account, \u00e8 la scelta delle community di privacy. Conserva i segreti in un archivio cifrato locale che puoi esportare e custodire offline.<\/p>\n\n\n\n
5. La famiglia non tecnica.<\/strong> Per i genitori che vogliono solo proteggere l’email e Facebook senza complicazioni, Google Authenticator vince per semplicit\u00e0 d’uso. L’interfaccia mostra solo i codici, senza men\u00f9 di funzioni avanzate che potrebbero confondere. Il backup sull’account Google evita la catastrofe del “ho cambiato telefono e ho perso tutto”.<\/p>\n\n\n\n
Cosa dicono gli esperti e gli enti di sicurezza<\/h2>\n\n\n\n
Sul tema autenticazione, le voci che contano davvero non sono quelle dei singoli influencer ma degli enti che definiscono gli standard e delle community che testano le app in modo indipendente. Ecco le posizioni documentate e verificabili al 2026.<\/p>\n\n\n\n
La CISA<\/strong>, l’agenzia statunitense per la cybersicurezza, raccomanda da tempo la 2FA basata su app rispetto a quella via SMS, perch\u00e9 l’SMS \u00e8 vulnerabile al SIM swapping. La sua guida “Turn on MFA” colloca le app di autenticazione e le chiavi hardware nella fascia pi\u00f9 sicura, sopra i codici inviati per messaggio. La violazione Authy del 2024, che ha esposto numeri di telefono, \u00e8 la dimostrazione pratica del perch\u00e9 legare la sicurezza a un numero sia un rischio.<\/p>\n\n\n\n
Il NIST<\/strong>, l’ente statunitense per gli standard, nelle sue linee guida sull’identit\u00e0 digitale (SP 800-63) ha declassato l’SMS come fattore di autenticazione “ristretto”, spingendo verso autenticatori basati su software o hardware. Questo orientamento normativo favorisce indirettamente tutte e tre le app TOTP rispetto ai codici via messaggio, e in prospettiva le passkey gestite da Microsoft Authenticator.<\/p>\n\n\n\n
La community Privacy Guides<\/strong>, un riferimento per gli utenti attenti alla riservatezza, sconsiglia di affidarsi a Google Authenticator e Microsoft Authenticator proprio perch\u00e9 sono proprietari e legati a grandi piattaforme, e raccomanda alternative open source come Aegis e 2FAS, il cui codice chiunque pu\u00f2 ispezionare. Il dibattito sul loro forum, attivo anche nel 2026, ruota sul fatto che un’app di sicurezza dovrebbe essere verificabile, non una scatola nera.<\/p>\n\n\n\n
Le testate specializzate che hanno seguito i due eventi chiave del biennio confermano i fatti: The Hacker News<\/strong> e Tech Monitor<\/strong> hanno documentato la rimozione del gestore password da Microsoft Authenticator nel 2025, mentre la copertura sulla violazione Twilio del luglio 2024 ha fissato la cifra di 33 milioni di numeri esposti. Queste non sono opinioni, sono fatti riportati da fonti verificabili e linkate in fondo all’articolo.<\/p>\n\n\n\n
Alternative open source: Aegis e 2FAS<\/h2>\n\n\n\n
Nessuna delle tre app principali \u00e8 open source, e per una fetta crescente di utenti questo \u00e8 un limite invalicabile. Un’app di sicurezza che nessun ricercatore esterno pu\u00f2 verificare richiede fiducia cieca nel produttore. Due alternative gratuite e a codice aperto hanno conquistato le community tecniche e meritano un posto in questo confronto.<\/p>\n\n\n\n
2FAS<\/strong> \u00e8 un’app gratuita e open source, disponibile su iOS e Android, con un’estensione per il browser che permette di copiare i codici dal computer. Il sito ufficiale la descrive come “100% gratuita” e priva di raccolta dati invasiva. Non richiede n\u00e9 account n\u00e9 numero di telefono, e offre un backup che resta sotto il controllo dell’utente. Per chi cerca la comodit\u00e0 di Authy senza il numero di telefono e senza il codice chiuso, 2FAS \u00e8 la candidata naturale.<\/p>\n\n\n\n
Aegis Authenticator<\/strong> \u00e8 un’app gratuita e open source per Android, molto amata dalle community di privacy. Conserva i segreti in un archivio cifrato locale, protetto da password o biometria, e permette di esportarli per custodirli offline. Non c’\u00e8 cloud, non c’\u00e8 account, non c’\u00e8 telefono da registrare: i tuoi segreti restano solo sul tuo dispositivo e nel backup che gestisci tu. Lo svantaggio \u00e8 l’assenza di una versione iOS e la mancanza di sincronizzazione automatica, il prezzo della massima riservatezza.<\/p>\n\n\n\n
Per chi viene dal mondo dei wallet crypto o gestisce segreti sensibili, la logica di Aegis \u00e8 familiare: il controllo locale batte la comodit\u00e0 del cloud. \u00c8 lo stesso principio del cold storage applicato ai codici 2FA. Se questo approccio ti interessa, la nostra guida alla sicurezza contro il ransomware in Italia<\/a> spiega perch\u00e9 i backup offline sono la difesa pi\u00f9 solida.<\/p>\n\n\n\n
Guida alla migrazione: come cambiare app senza perdere i codici<\/h2>\n\n\n\n
Cambiare app di autenticazione spaventa perch\u00e9 un errore pu\u00f2 lasciarti fuori dai tuoi account. La regola d’oro \u00e8 una: non rimuovere mai la 2FA dal vecchio sistema finch\u00e9 non hai confermato che il nuovo funziona. Ecco la procedura sicura, passo dopo passo, valida per migrare tra Google Authenticator, Microsoft Authenticator, Authy o verso Aegis e 2FAS.<\/p>\n\n\n\n
Passo 1, fai l’inventario.<\/strong> Apri la vecchia app e annota ogni account protetto. Servizi bancari, email, social, exchange di criptovalute, account di lavoro. Procurati i codici di recupero di ciascun servizio, quei codici monouso che ti permettono di rientrare se perdi del tutto l’accesso 2FA. Conservali offline.<\/p>\n\n\n\n
Passo 2, usa l’esportazione dove esiste.<\/strong> Google Authenticator offre un trasferimento via QR: tocca i tre puntini, scegli “Trasferisci account”, “Esporta account”, e l’app genera uno o pi\u00f9 codici QR da scansionare con la nuova app. Funziona solo verso app che supportano l’importazione di quel formato, come 2FAS o Aegis. Authy non offre un’esportazione standard dei segreti, quindi da Authy spesso serve riconfigurare manualmente.<\/p>\n\n\n\n
Passo 3, riconfigura account per account quando serve.<\/strong> Per i servizi che non importi via QR, accedi alle impostazioni di sicurezza di ciascuno, disattiva la vecchia 2FA e riattivala scansionando il nuovo QR con la nuova app. Fallo un account alla volta, verificando ogni volta che il nuovo codice funzioni prima di passare al successivo. La sequenza tipica:<\/p>\n\n\n\n
1. Accedi al servizio (es. github.com\/settings\/security)\n2. Disattiva la 2FA esistente (ti verra chiesto un codice attuale)\n3. Riattiva la 2FA -> \"App di autenticazione\"\n4. Scansiona il nuovo QR con la nuova app\n5. Inserisci il codice generato per confermare\n6. Salva i nuovi codici di recupero offline\n7. Ripeti per ogni account<\/code><\/pre>\n\n\n\n
Passo 4, verifica e solo dopo cancella.<\/strong> Quando ogni account funziona sulla nuova app, e solo allora, disinstalla la vecchia. Se migri da Authy dopo la violazione del 2024, valuta di chiedere all’operatore telefonico di attivare le protezioni anti SIM swapping, dato che il tuo numero potrebbe essere nell’elenco esposto.<\/p>\n\n\n\n
Pro e contro di ciascuna app<\/h2>\n\n\n\n
Sintesi dei vantaggi e degli svantaggi reali, basata sui dati di questo confronto.<\/p>\n\n\n\n
Google Authenticator, pro:<\/strong> semplicit\u00e0 assoluta, nessuna registrazione per l’uso base, schermata privacy, trasferimento via QR, backup sull’account Google dal 2023. Contro:<\/strong> niente sincronizzazione multi-dispositivo reale, niente desktop, niente passkey, codice chiuso, polemica 2023 sulla cifratura del backup.<\/p>\n\n\n\n
Microsoft Authenticator, pro:<\/strong> accesso senza password, number matching contro l’MFA fatigue, supporto passkey, integrazione totale con l’ecosistema Microsoft, backup cifrato. Contro:<\/strong> ha eliminato il gestore di password nel 2025 costringendo gli utenti a migrare, solo mobile, codice chiuso, interfaccia pi\u00f9 carica.<\/p>\n\n\n\n
Authy, pro:<\/strong> sincronizzazione multi-dispositivo storica, backup cifrato con password utente, recupero facile su nuovo dispositivo. Contro:<\/strong> violazione del luglio 2024 con 33 milioni di numeri esposti, app desktop dismesse a marzo 2024, richiede un numero di telefono, codice chiuso.<\/p>\n\n\n\n
Quale scegliere: 5 raccomandazioni per caso d’uso<\/h2>\n\n\n\n
Non esiste un vincitore unico, esiste l’app giusta per il tuo profilo. Ecco le raccomandazioni nette.<\/p>\n\n\n\n