Autenticazione a Due Fattori 2026: Authy vs Microsoft Authenticator vs Chiavi Hardware

Se nel 2026 ricevi ancora codici 2FA via SMS, sei protetto contro il 70% degli attacchi ma vulnerabile al 30% che conta: SIM-swap, social engineering operatore telco, exploit protocollo SS7. Tempo di aggiornare.

Questa guida confronta le 3 opzioni principali: app-based (TOTP), push-based (Microsoft/Google), chiavi hardware (YubiKey, Google Titan).

TL;DR

  • Per tutti: passa da SMS ad app-based al piu’ presto.
  • Migliore app gratuita: Microsoft Authenticator (cross-platform, backup cifrato su account MS).
  • Migliore per power user: Authy (cloud sync, multi-device) o Bitwarden Authenticator (integrato con password manager).
  • Setup paranoide: YubiKey 5 NFC (USB-A o USB-C + NFC), 50 USD, dura ~5 anni.

App-based (TOTP)

Generano codice 6 cifre che ruota ogni 30 secondi. Piu’ sicure per il prezzo (gratis).

Microsoft Authenticator 9.5/10

  • Gratis, iOS + Android.
  • Backup cifrato su account MS (recovery su nuovo telefono funziona).
  • Notifiche push per account MS (Office 365, Azure, OneDrive).
  • UX eccellente.

Authy 9.0/10

  • Gratis, iOS + Android + Mac + Windows desktop.
  • Backup cloud cifrato con master password.
  • Sync multi-device (vs Microsoft single-device per account).
  • Proprieta’ Twilio (carrier-friendly ma incidente Twilio 2024 ha lasciato cicatrici).

Google Authenticator 8.5/10

  • Gratis, iOS + Android.
  • Cloud sync (feature recente 2023+).
  • Semplice ma UI minimale.
  • Lock-in account Google.

Bitwarden Authenticator 8.5/10

  • Gratis per utenti Premium (10 USD/anno).
  • Integrato col password manager.
  • Browser extension auto-paste.
  • Meglio se gia’ nell’ecosistema Bitwarden.

Chiavi hardware (FIDO2 / WebAuthn)

Per threat model paranoid o account high-value (crypto, email principale, lavoro).

YubiKey 5 NFC 9.7/10

  • 50 USD, durata lifetime (no batteria).
  • Varianti USB-A, USB-C, Lightning, NFC.
  • Slot FIDO2 + U2F + TOTP.
  • Funziona con: Google, GitHub, Twitter, Facebook, AWS, Bitwarden, 1Password, ecc.
  • Backup: compra 2 chiavi, una in cassaforte.

Google Titan 9.0/10

  • 35 USD, piu’ piccola di YubiKey.
  • Varianti USB-C + NFC.
  • FIDO2 + U2F.
  • Integrazione Google piu’ forte (auto-detect).

SoloKey 8.5/10

  • 30 USD, firmware open-source.
  • Mirata a sviluppatori e smanettoni.
  • Meno supporto ecosistema.

Migrazione da SMS

Passo per passo (30 min):

  1. Installa Microsoft Authenticator (o alternativa).
  2. Login agli account critici (email, banca, crypto, social).
  3. Vai in impostazioni sicurezza, abilita 2FA “Authenticator app”.
  4. Scansiona il QR code mostrato dal sito.
  5. Verifica il codice 6 cifre.
  6. Salva gli 8-10 backup code nel password manager (non nella stessa app). Critico: se perdi il telefono, i backup code sono la tua via di rientro.
  7. Disattiva SMS 2FA sugli account che ora supportano app-based.
  8. Ripeti per account meno critici (stimato 15-30 account).

E se perdo il telefono?

  • App-based con backup cloud: installa su nuovo telefono, restore da backup.
  • App-based senza backup: usa backup code stampati.
  • Chiave hardware persa: usa la chiave di scorta (compra sempre 2).

Disclosure affiliate

Link YubiKey e Google Titan contengono codici affiliate. Recensioni indipendenti. FTC compliant.