Aiuto e guideSicurezza account › Dispositivi attendibili (Remember device con 2FA)

Dispositivi attendibili (Remember device con 2FA)

3 min di lettura · Sicurezza account

Se ha attivato l'autenticazione a due fattori (2FA) e desidera saltare il codice a sei cifre quando accede da un computer o cellulare abituale, selezioni "Ricorda questo dispositivo". Per 30 giorni non le chiederemo nuovamente il codice monouso (TOTP).

Impostazioni dell'account - e-mail, password, 2FA e dispositivi attendibili
Sezione Account: qui gestisce il 2FA e i dispositivi attendibili.

Come funziona

  1. Al primo accesso 2FA riuscito sul dispositivo, selezioni "Ricorda questo dispositivo".
  2. Salviamo nel browser un token di sicurezza casuale (256 bit). Sul server conserviamo solo il suo hash (SHA-256), così il token non può essere indovinato né dedotto - un attaccante non può falsificare un cookie valido.
  3. Al successivo accesso nello stesso browser troviamo questo cookie e saltiamo il passaggio 2FA.
  4. Dopo 30 giorni il cookie scade e dovrà inserire nuovamente il codice monouso.

Gestione dei dispositivi attendibili

In Impostazioni, nella sezione Account -> Dispositivi attendibili, vede un elenco con:

  • Il nome del dispositivo derivato dal browser (ad esempio "Chrome su Windows 11").
  • L'indirizzo IP e il paese dell'ultimo accesso.
  • La data di aggiunta e di ultimo utilizzo.
  • Un pulsante Rimuovi - revoca immediatamente l'attendibilità, e il prossimo accesso da questo dispositivo richiederà di nuovo il codice 2FA.

Quando rimuovere un dispositivo

  • Ha effettuato l'accesso su un computer altrui o pubblico (bar, biblioteca).
  • Ha perso o venduto un portatile o un cellulare.
  • Vede nell'elenco un dispositivo che non riconosce (indirizzo IP sconosciuto, paese sconosciuto).

Misure di sicurezza

  • Token casuale lato server: al browser arriva solo un token casuale di 256 bit, il server conserva soltanto il suo hash SHA-256 e lo confronta - un attaccante non può falsificare un cookie valido.
  • Il JavaScript non ha accesso al cookie: protezione affinché non possa rubarlo uno script malevolo nella pagina.
  • Solo tramite connessione cifrata: il cookie viene inviato esclusivamente tramite HTTPS.
  • Legato all'account: un cookie dell'account A non funziona sull'account B.
  • Scadenza automatica: dopo 30 giorni il 2FA è di nuovo necessario.
  • Al cambio della password (tramite "Password dimenticata" o una modifica manuale) tutti i dispositivi attendibili vengono rimossi automaticamente. Anche se un attaccante avesse il suo vecchio cookie, non potrà più saltare il 2FA.
Questa guida è stata utile?