Trasferimento di Google Authenticator: migra l`autenticazione a due fattori su un nuovo telefono
Se perdi il telefono su cui sono memorizzati i codici di autenticazione, Coinbase ti mette in coda per la verifica dell'identità, un processo che può durare dalle 48 alle 72 ore, prima di poter accedere nuovamente al tuo account. Su Binance può volerci una settimana. Per un piccolo exchange, l'attesa potrebbe arrivare a un mese. Questo è il prezzo da pagare per un sistema di autenticazione non migrato, ed è l'unica ragione per cui esiste questa guida.
Questa guida illustra come trasferire Google Authenticator su iOS o Android, in entrambe le direzioni, utilizzando i due metodi effettivamente funzionanti: l'esportazione tramite codice QR, disponibile nell'app a partire da maggio 2020, e la sincronizzazione con l'account Google sul cloud, introdotta ad aprile 2023 con un'avvertenza di sicurezza importante da tenere presente. Vengono inoltre affrontati i casi di emergenza in cui il vecchio telefono viene smarrito o rubato, le insidie del trasferimento dei codici di autenticazione a due fattori su un nuovo dispositivo e le procedure da seguire per gli account online di valore elevato, per i quali il recupero non è sempre possibile. L'obiettivo: migrare Google Authenticator senza perdere l'accesso ai propri account e proteggere i codici di autenticazione a due fattori.
Perché il trasferimento di Google Authenticator è importante prima di cambiare telefono
L'autenticazione a due fattori tramite SMS muore con la SIM. Un attacco di portabilità del numero, un cambio di operatore, persino un trasferimento eSIM andato male... e il codice finisce sul telefono di qualcun altro. Il rapporto sui crimini informatici dell'FBI del 2024 ha registrato 982 denunce di scambio di SIM e 25,98 milioni di dollari di perdite dirette (in calo rispetto ai 72,65 milioni di dollari del 2022, ma le stesse truffe rimangono la porta d'accesso al furto di identità e ai prosciugamenti dei portafogli di criptovalute). I codici monouso di un'app di autenticazione risiedono nella memoria sicura del dispositivo, non sulla rete dell'operatore, ed è per questo che Microsoft ha potuto affermare per anni che l'attivazione dell'autenticazione a due fattori blocca oltre il 99,9% dei tentativi automatizzati di compromissione dell'account.
Il compromesso è ovvio. Ogni codice è associato a un solo telefono. Se lo fai cadere in un fiume, lo ripristini accidentalmente alle impostazioni di fabbrica o lo dai a tuo figlio per "cinque minuti", non potrai accedere ai tuoi account finché non avrai seguito la procedura di recupero per ciascun servizio. Quindi, salva i tuoi codici, generali solo su un dispositivo che controlli e considera il passaggio a un nuovo telefono come una normale operazione di manutenzione.
Prima di iniziare: prepara l'app Google Authenticator su entrambi i telefoni
Una percentuale sorprendente di trasferimenti falliti è dovuta a una preparazione incompleta, non a un software difettoso. Tre fattori in particolare causano il fallimento: un'app obsoleta, l'assenza di dati biometrici e una connessione Wi-Fi instabile. Apri Google Authenticator sul vecchio telefono e verifica che si avvii e mostri i codici di autenticazione a rotazione aggiornati. Aggiornalo tramite Google Play (versione Android 7.0 o successiva, rilasciata il 14 novembre 2024) o l'App Store. Installa la stessa app Google Authenticator sul nuovo telefono, accedi con il tuo solito account Google e attiva i dati biometrici: la richiesta di esportazione non dovrebbe mostrare il codice QR senza impronta digitale o riconoscimento facciale. Collega entrambi i dispositivi, connettili alla stessa rete Wi-Fi affidabile e disattiva eventuali VPN.
Durante l'aggiornamento dei telefoni, elenca tutti i servizi associati all'app di autenticazione. La maggior parte delle persone ha dieci o più account di autenticazione senza rendersene conto: ogni account Google, GitHub, ogni piattaforma di scambio, gestore di password, console AWS, CMS. La tabella seguente indica dove si trovano i codici di backup per i servizi che più spesso causano blocchi. Tieni a portata di mano questo elenco e le password complesse per ogni servizio: alcune procedure di ripristino richiedono entrambi prima di scollegare il vecchio dispositivo.
| Servizio | Dove risiedono i codici di backup | Note |
|---|---|---|
| Account Google | myaccount.google.com → Sicurezza → Verifica in due passaggi | 10 codici monouso |
| Microsoft | account.microsoft.com → Sicurezza → Sicurezza avanzata | Codice di recupero, anche fallback via email |
| GitHub | Impostazioni → Password e autenticazione → Codici di recupero | 16 codici |
| Coinbase | Impostazioni → Sicurezza → Codici di backup | Collegato alla verifica dell'identità al momento del ripristino |
| Binance | Centro utenti → Sicurezza → Autenticazione a due fattori | Recupero dell'account da 24 ore a 7 giorni |
| AWS | Centro identità IAM → Profilo utente | Fino a 8 dispositivi MFA |
| Facebook / Instagram | Centro account → Password e sicurezza | 10 codici di recupero |
Esportazione e importazione: trasferisci il tuo Google Authenticator tramite QR
La funzione di esportazione tramite codice QR è stata rilasciata a maggio 2020. Rimane il metodo consigliato dalla pagina di assistenza iOS di Google e consente di trasferire i codici QR di ogni account selezionato da un telefono all'altro senza alcun server intermedio. Niente cloud, niente account Google.
Inizia dal vecchio telefono. Apri l'app e trova il menu: su Android ci sono tre linee orizzontali nell'angolo in alto a sinistra; su iPhone ci sono tre puntini, solitamente in alto a destra, anche se in alcune versioni si trovano in basso. Tocca il menu, scegli Trasferisci account e poi Esporta account. L'app ti chiederà l'impronta digitale, il Face ID o il codice di accesso del dispositivo. Una volta completata la procedura biometrica, vedrai un elenco di tutti gli account Google Authenticator presenti sul dispositivo. Seleziona quelli che desideri trasferire (la casella accetta la selezione multipla) e tocca Avanti. A questo punto l'app genererà un codice QR contenente il seed crittografato per un massimo di dieci account contemporaneamente. Hai più di dieci account? Verrà visualizzata una coda di codici QR numerati e l'app ti indicherà quale stai visualizzando.
Ora passiamo al nuovo telefono. Apri Google Authenticator, tocca "Inizia" oppure tocca l'icona più in basso a destra se l'app è già avviata. Seleziona "Scansiona un codice QR". Se durante la fase di importazione ti viene chiesto se stai importando da un account esistente, rispondi di sì. Tieni il nuovo telefono davanti allo schermo del vecchio telefono e fai in modo che la fotocamera agganci il codice QR. Il nuovo dispositivo elencherà tutti gli account importati. Tocca "Avanti" per eventuali altri codici QR presenti nel gruppo.
I codici originali rimangono sul vecchio telefono. Verifica prima il nuovo dispositivo, poi elimina tutto. Apri un servizio associato, accedi e controlla che il codice di verifica a sei cifre del nuovo autenticatore corrisponda a quello previsto dal servizio. Una volta che due servizi ti hanno consentito l'accesso senza problemi, rimuovi le voci dall'app del vecchio telefono o, meglio ancora, ripristina il vecchio dispositivo per la rivendita.
In pratica, possono verificarsi alcuni problemi. Il trasferimento da Android ad Android è quasi sempre impeccabile. Il trasferimento da Android a iPhone a volte non visualizza alcuni account dopo l'importazione, soprattutto quando la scansione del codice QR codifica più di cinque voci; in tal caso, riduci la dimensione del batch e riprova. Il trasferimento da iPhone ad Android a volte si blocca nella schermata di esportazione perché l'implementazione iOS di Google è in ritardo rispetto a quella Android; se ciò accade, chiudi forzatamente l'app, riaprila e riavvia l'esportazione. Anche una VPN su uno dei due dispositivi può corrompere la scansione a causa della limitazione della velocità della fotocamera da parte di alcuni client VPN. Disabilitala per il trasferimento. I codici di trasferimento contenuti nel QR sono a tempo limitato, quindi se l'orologio del nuovo telefono non è sincronizzato, potresti visualizzare codici non validi dopo l'importazione: apri il menu dell'app e tocca "Correzione ora per i codici" per risincronizzare l'orologio del dispositivo.
Sincronizza i codici di Google Authenticator con il tuo account Google
La sincronizzazione cloud, aggiunta il 24 aprile 2023 con la versione 6.0 su Android e 4.0 su iOS, è il metodo più pratico. Una volta attivata, ogni codice aggiunto o rimosso viene visualizzato su tutti i telefoni connessi allo stesso account Google, senza bisogno di codici QR. Per la maggior parte degli accessi occasionali, questa è esattamente la soluzione ideale.
È opportuno soffermarsi sulla questione della sicurezza. Entro 48 ore dal lancio, avvenuto nell'aprile 2023, i ricercatori di sicurezza di Mysk Inc. hanno dimostrato che il traffico che trasportava i seed TOTP ai server di Google non era crittografato end-to-end. Google si è impegnata pubblicamente ad aggiungere la crittografia end-to-end "in futuro", ma al momento in cui scrivo la sincronizzazione è protetta solo dalla crittografia lato server di Google, il che significa che Google stessa può tecnicamente leggere i seed. Per un account Spotify o Twitter, questo è un compromesso accettabile rispetto alla perdita dell'accesso. Per un gestore di password principale o un exchange di criptovalute, preferisco il metodo QR e accetto le complicazioni.
Per attivare la sincronizzazione, apri Google Authenticator sul vecchio telefono, tocca l'icona dell'avatar o del profilo nell'angolo in alto a destra e accedi con l'account Google che desideri utilizzare come backup. Accanto a ogni voce sincronizzata comparirà un indicatore a forma di nuvola verde. Apri la stessa app sul nuovo telefono, accedi con lo stesso account Google e i codici appariranno in pochi secondi. Non è necessario scansionare alcun codice QR né richiedere l'autenticazione biometrica.
Se desiderate un trasferimento di Google Authenticator praticamente senza intoppi, la sincronizzazione è la soluzione ideale, ma utilizzatela solo per account di basso valore se non vi fidate del design senza crittografia end-to-end. Mantenete le chiavi di accesso più importanti (per servizi bancari, criptovalute, account GitHub) associate a un unico dispositivo tramite esportazione del codice QR, oppure spostatele completamente su una chiave di accesso o una chiave hardware. Il documento informativo CISA del 2022 sull'autenticazione a più fattori resistente al phishing, riconfermato nel 2024, classifica le chiavi hardware FIDO2 al di sopra di qualsiasi metodo TOTP.
Configura Google Authenticator su un nuovo dispositivo senza il vecchio telefono
Se il vecchio telefono è già andato perso, è stato rubato o è inutilizzabile, nessuno dei metodi sopra descritti funziona, perché tutti richiedono il dispositivo di origine. Non è possibile ripristinare il dispositivo dal cloud a meno che non si fosse attivata la sincronizzazione prima dello smarrimento. L'unica opzione disponibile è la seguente, che tuttavia è lenta.
Per ogni servizio associato, è necessario accedere in un altro modo e riassociare l'autenticazione a due fattori (2FA) al nuovo telefono singolarmente. I codici di backup sono il metodo più rapido per recuperare l'account: Google rilascia dieci codici di backup monouso dal tuo account Google durante la configurazione della 2FA, GitHub ne rilascia sedici, mentre la maggior parte degli exchange ne rilascia da otto a dodici. Se li hai salvati in un gestore di password o stampati, usane uno per accedere, quindi vai direttamente alle impostazioni di sicurezza, rimuovi il vecchio collegamento dell'autenticatore da un altro dispositivo e associa il nuovo telefono scansionando un nuovo codice QR per inviare nuovamente i codici al tuo account Google.
Se non si dispone di codici di backup, la procedura sarà molto lenta. La guida di Coinbase indica un tempo di ripristino dell'autenticazione a due fattori (2FA) di 48-72 ore, che aumenta ulteriormente quando è richiesta la verifica dell'identità. Alcune banche richiedono una visita in filiale. Il consiglio è: configurate Google Authenticator con codici di backup associati a un gestore di password il giorno stesso in cui lo attivate e stampatene una copia cartacea da conservare in un luogo diverso dal telefono. In ogni caso, tenete un elenco di nome utente e indirizzo email di recupero per ogni account online protetto da Authenticator.
Trasferisci i codici 2FA tra Android e iPhone senza perdere l'accesso
La migrazione tra piattaforme è l'area in cui si concentra la maggior parte delle richieste di assistenza. Il trasferimento tramite Google Authenticator funziona in entrambe le direzioni tra iOS e Android, ma si verificano due tipi di errore ricorrenti. Il primo si presenta quando la scansione del codice QR per l'esportazione va a buon fine, ma il nuovo dispositivo mostra solo un sottoinsieme degli account. Questo è quasi sempre dovuto al limite di dieci account per codice QR, soprattutto quando l'app iOS genera il codice. Si consiglia di ridurre l'esportazione a cinque account alla volta. Il secondo problema si verifica quando il menu di esportazione mostra "nessun account da esportare" su iOS, anche se i codici sono chiaramente in esecuzione. La soluzione nelle build 2026 consiste nell'aggiornare all'ultima versione di TestFlight o dell'App Store, chiudere forzatamente l'app e disattivare e riattivare una volta l'impostazione biometrica del dispositivo.
Prima di scansionare un codice QR da esportare, scatta delle schermate con un secondo dispositivo oppure stampale. Qualsiasi dispositivo può scansionare un codice QR per importarlo, ma Google non consente di rigenerare la stessa esportazione, quindi una schermata pulita può fare la differenza tra cinque minuti di lavoro e il panico descritto sopra. Che tu stia migrando su iOS o Android, salvare le schermate dei codici QR in modo sicuro (in una nota crittografata di un gestore di password) è la soluzione più economica per garantire la sicurezza del tuo dispositivo.
Utilizzare gli account Google Authenticator con gli exchange di criptovalute e Web3
Il furto di identità su un exchange o un wallet di criptovalute è praticamente irreversibile: una volta trasferiti i fondi, sono persi per sempre. I codici di autenticazione sono il minimo indispensabile e, secondo i dati di Microsoft che indicano un aumento del 146% su base annua degli attacchi di phishing "adversary-in-the-middle" (AiTM) fino al 2024, nemmeno il TOTP da solo è sufficiente. La campagna AiTM del maggio 2026, relativa al "codice di condotta", ha colpito oltre 35.000 utenti in 13.000 organizzazioni in 26 paesi: gli aggressori hanno utilizzato proxy per pagine di login legittime, hanno intercettato il codice TOTP in tempo reale e hanno rubato il cookie di sessione prima che l'utente se ne accorgesse. È consigliabile associare prima una chiave hardware (YubiKey o simili) all'account Google principale, poi aggiungere Authenticator sul lato exchange e disabilitare l'autenticazione a due fattori tramite SMS non appena si verifica il corretto funzionamento di Authenticator. I dati dell'IC3 dell'FBI per il 2024 stimano le perdite totali dovute alla criminalità informatica a 16,6 miliardi di dollari e le denunce relative alle criptovalute continuano ad aumentare ogni anno.
I processori di pagamento in criptovalute meritano lo stesso trattamento degli exchange. Plisio, ad esempio, supporta TOTP per gli account dei commercianti e l'associazione tramite Google Authenticator (o qualsiasi app compatibile con TOTP) protegge la dashboard che controlla le transazioni in uscita. Quando si passa a un nuovo telefono, è opportuno trattare la dashboard del gateway di pagamento come un hot wallet: solo esportazione del codice QR, nessuna sincronizzazione cloud, generazione e archiviazione di nuovi codici di backup dopo il passaggio.
Alternative all'app Google Authenticator da prendere in considerazione
Il crollo di Authy ha rimescolato le carte del mercato. Il 19 marzo 2024 Twilio ha disattivato le app desktop di Authy con mesi di anticipo rispetto alla data di agosto originariamente annunciata. Poi, nel luglio 2024, degli hacker si sono impossessati di 33.420.546 numeri di telefono di Authy tramite un'API non autenticata e Twilio ha confermato la violazione. Due colpi in quattro mesi. Gli utenti di Authy si sono dispersi.
| App | Sincronizzazione cloud | Sincronizzazione E2EE | Piattaforme | Open source |
|---|---|---|---|---|
| Autenticatore Google | Sì (dal 2023) | No (solo lato server) | iOS, Android | NO |
| 2FAS | Sì (facoltativo) | SÌ | iOS, Android, browser | SÌ |
| Egida | No (solo backup locale) | N / A | Android | SÌ |
| Autenticazione | SÌ | SÌ | iOS, Android, desktop | SÌ |
| Autenticatore Microsoft | SÌ | SÌ | iOS, Android | NO |
| App Password per iOS 18 | Portachiavi iCloud | SÌ | iOS, macOS | NO |
A settembre 2024 Apple ha fatto qualcosa di interessante, seppur in sordina. iOS 18 ha separato il Portachiavi iCloud in un'app Password dedicata, in grado di generare nativamente codici TOTP, compilare automaticamente i campi in Safari e sincronizzarsi con la crittografia end-to-end. Per gli utenti Apple, questo elimina completamente la necessità di un'app di autenticazione separata. Per tutti gli altri, la tabella qui sopra riassume le alternative disponibili.
Conserva i codici di Google Authenticator in un luogo sicuro dopo il trasferimento.
Eseguite questa lista non appena l'importazione è completata. Accedete ad almeno tre dei servizi più importanti associati al nuovo telefono e verificate che i codici funzionino e che la schermata principale dell'app Authenticator mostri tutti gli account previsti. Rigenerate i codici di backup per ogni servizio appena trasferito; conservateli in un gestore di password e su carta, in luoghi diversi. Cancellate i dati dal vecchio telefono tramite Trova il mio iPhone o Trova il mio dispositivo Android prima di cederlo. Per l'account Google principale, aggiungete una password o una chiave di sicurezza hardware, in modo che anche un altro telefono con il vostro Authenticator installato non sia sufficiente da solo. Questa configurazione a più livelli è ciò che blocca le campagne AiTM che Microsoft sta monitorando fino al 2026. Ancora più importante, è ciò che trasforma il successivo trasferimento di Google Authenticator in un'operazione di quindici minuti anziché in un momento di panico.
