Guida all'autenticazione a più fattori (MFA)

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza al proprio account DNScale. Anche se qualcuno dovesse ottenere la password, non potrà accedere senza il secondo fattore di verifica. Questa guida spiega come funziona MFA e come configurarla.

Cos'è l'autenticazione a più fattori?

MFA richiede di verificare la propria identità utilizzando due o più fattori indipendenti al momento dell'accesso:

1. Qualcosa che si conosce — la propria password
2. Qualcosa che si possiede — un codice temporaneo generato da un'app di autenticazione, oppure una chiave di sicurezza hardware

Combinando questi fattori, MFA rende l'accesso non autorizzato significativamente più difficile. Una password rubata da sola non è sufficiente a compromettere l'account.

Metodi supportati

DNScale supporta i seguenti metodi di autenticazione:

È possibile attivare sia un'app di autenticazione sia una o più chiavi di sicurezza sullo stesso account. Ciascun metodo può essere utilizzato in modo indipendente per effettuare l'accesso.

App di autenticazione compatibili

Qualsiasi app che supporti TOTP (Time-based One-Time Passwords) funziona con DNScale:

• Google Authenticator (Android, iOS)
• Microsoft Authenticator (Android, iOS)
• Authy (Android, iOS, Desktop)
• 1Password
• Bitwarden
• YubiKey Authenticator (con hardware YubiKey)

Chiavi di sicurezza compatibili

Qualsiasi dispositivo compatibile con FIDO2/WebAuthn funziona con DNScale:

• Chiavi di sicurezza USB — YubiKey 5 series, SoloKey, Nitrokey, Google Titan
• Chiavi di sicurezza NFC — YubiKey 5 NFC (autenticazione tap su dispositivo mobile)
• Autenticatori integrati — Touch ID (macOS), Windows Hello (Windows), biometria Android

Nota: Il supporto per le chiavi di sicurezza richiede un browser che implementi l'API WebAuthn. Tutti i browser moderni (Chrome, Firefox, Safari, Edge) la supportano. L'opzione per aggiungere una chiave di sicurezza verrà visualizzata solo se il browser supporta WebAuthn.

Configurazione di un'app di autenticazione (TOTP)

Passaggio 1: Aprire le impostazioni di sicurezza

Accedere alla dashboard di DNScale e navigare su Settings. Scorrere verso il basso fino alla scheda Security.

Verrà visualizzata una sezione "Two-Factor Authentication" che mostra lo stato attuale come Disabled.

Passaggio 2: Avviare la configurazione

Fare clic sul pulsante Enable 2FA. Verrà visualizzata una finestra di configurazione con un codice QR.

Passaggio 3: Scansionare il codice QR

Aprire l'app di autenticazione e scansionare il codice QR visualizzato nella finestra. Se non è possibile scansionare il codice, fare clic sull'opzione di inserimento manuale per copiare la chiave segreta e inserirla manualmente nell'app.

Suggerimento: Assicurarsi che l'ora del telefono sia precisa. I codici TOTP sono sensibili al tempo e un orologio sfasato di più di 30 secondi può causare il fallimento dei codici.

Passaggio 4: Inserire il codice di verifica

L'app di autenticazione mostrerà ora un codice a 6 cifre che si aggiorna ogni 30 secondi. Inserire il codice corrente nel campo di verifica e fare clic su Verify & Enable.

Passaggio 5: Salvare i codici di recupero

Dopo la verifica, verranno mostrati 10 codici di recupero. Si tratta di codici di backup monouso che permettono di accedere se si perde l'accesso all'app di autenticazione.

Importante: Salvare questi codici adesso. Non sarà possibile visualizzarli nuovamente. Conservarli in un gestore di password, stamparli o salvarli in un luogo sicuro.

È possibile copiare tutti i codici negli appunti o scaricarli come file di testo.

Fare clic su I've Saved My Codes per completare la configurazione.

Configurazione di una chiave di sicurezza (WebAuthn)

Passaggio 1: Aprire le impostazioni di sicurezza

Accedere alla dashboard di DNScale e navigare su Settings. Scorrere verso il basso fino alla scheda Security.

Passaggio 2: Aggiungere una chiave di sicurezza

Nella sezione "Security Keys", fare clic su Add Security Key. Verrà visualizzata una finestra che chiede di assegnare un nome alla chiave.

Passaggio 3: Assegnare un nome alla chiave

Inserire un'etichetta descrittiva per la chiave (ad esempio "YubiKey 5", "MacBook Touch ID", "Chiave di backup"). Questo aiuta a identificare quale chiave è quale nel caso se ne registrino più di una.

Passaggio 4: Registrare la chiave

Fare clic su Register. Il browser chiederà di interagire con la chiave di sicurezza:

• Chiave USB (YubiKey, SoloKey): Inserire la chiave e toccare il contatto metallico quando lampeggia
• Touch ID (macOS): Posizionare il dito sul sensore Touch ID
• Windows Hello: Utilizzare l'impronta digitale, il riconoscimento facciale o il PIN
• Chiave NFC: Avvicinare la chiave al dispositivo

La registrazione si completa automaticamente una volta interagito con la chiave.

Passaggio 5: Salvare i codici di recupero

Se questo è il primo metodo MFA configurato, verranno mostrati 10 codici di recupero. Salvarli in un luogo sicuro: sono il backup nel caso in cui si perda l'accesso a tutte le chiavi registrate.

Suggerimento: Si consiglia di registrare una chiave di sicurezza di backup nel caso in cui la chiave principale venga smarrita o danneggiata. È possibile avere più chiavi di sicurezza sul proprio account.

Come funziona l'accesso

Senza MFA (predefinito)

1. Inserire email e password
2. Un codice di sicurezza a 6 cifre viene inviato all'email
3. Inserire il codice (o fare clic sul link contenuto nell'email)
4. L'accesso è completato

Con app di autenticazione (TOTP preferito)

1. Inserire email e password
2. Viene richiesto di inserire il codice dell'autenticatore
3. Aprire l'app di autenticazione e inserire il codice a 6 cifre corrente
4. L'accesso è completato

Nessuna email viene inviata quando TOTP è il metodo preferito, rendendo l'accesso più rapido e sicuro.

Con chiave di sicurezza (WebAuthn preferito)

1. Inserire email e password
2. Viene visualizzata la richiesta "Touch your security key"
3. Inserire la chiave e toccarla (o utilizzare Touch ID / Windows Hello)
4. L'accesso è completato

L'intero processo di accesso richiede solo pochi secondi, senza codici da digitare.

Cambio di metodo durante l'accesso

Nella schermata di verifica è possibile passare da un metodo disponibile all'altro:

• Use a security key — passare all'autenticazione WebAuthn
• Use authenticator app — passare all'inserimento del codice TOTP
• Use email verification instead — tornare al codice via email
• Use a recovery code — inserire un codice di recupero monouso

Utilizzo di un codice di recupero

Se non si ha accesso all'app di autenticazione o alla chiave di sicurezza (telefono smarrito, chiave rotta):

1. Inserire email e password
2. Nella schermata di verifica, fare clic su Use a recovery code
3. Inserire uno dei codici di recupero salvati (formato: xxxx-xxxx)
4. L'accesso è completato

Ogni codice di recupero può essere utilizzato una sola volta. Dopo aver utilizzato un codice, si consiglia di rigenerare i codici di recupero dalla dashboard.

Gestione delle impostazioni MFA

Visualizzazione dello stato

Accedere a Settings > Security per visualizzare:

• Se la 2FA è attiva o disattivata
• Il metodo di verifica preferito
• L'app di autenticazione registrata e quando è stata utilizzata l'ultima volta
• Le chiavi di sicurezza registrate con nomi e date dell'ultimo utilizzo
• Quanti codici di recupero rimangono (su 10)

Impostazione del metodo preferito

Quando si hanno più metodi MFA attivati, è possibile scegliere quale viene proposto per primo durante l'accesso:

1. Accedere a Settings > Security
2. Utilizzare il selettore del metodo preferito per scegliere tra Authenticator App, Security Key o Email
3. La modifica ha effetto dal prossimo accesso

È sempre possibile passare a un metodo diverso dalla schermata di accesso, indipendentemente dalla propria preferenza.

Gestione delle chiavi di sicurezza

È possibile registrare più chiavi di sicurezza (consigliato per ridondanza):

• Ogni chiave è elencata con la propria etichetta e la data dell'ultimo utilizzo
• Fare clic sull'icona del cestino accanto a una chiave per rimuoverla
• Se si rimuove l'ultimo metodo MFA, l'autenticazione a due fattori verrà completamente disattivata

Rigenerazione dei codici di recupero

Se sono stati utilizzati alcuni codici di recupero o si sospetta che siano stati compromessi:

1. Accedere a Settings > Security
2. Fare clic su Regenerate accanto al conteggio dei codici di recupero
3. Confermare l'azione (questo invalida tutti i codici esistenti)
4. Salvare il nuovo set di 10 codici

Disattivazione della 2FA

Se si desidera rimuovere l'autenticazione a due fattori:

1. Accedere a Settings > Security
2. Rimuovere l'app di autenticazione e/o le chiavi di sicurezza singolarmente
3. Quando l'ultimo metodo MFA viene rimosso, la 2FA viene automaticamente disattivata

L'account tornerà alla verifica tramite email per l'accesso.

Guide specifiche per dispositivo

Utilizzo di Touch ID su Mac

Touch ID funge da autenticatore integrato attraverso lo standard WebAuthn. L'impronta digitale non lascia mai il Mac: viene verificata localmente dal chip Secure Enclave e solo una prova crittografica viene inviata a DNScale.

Configurazione:

1. Accedere a Settings > Security e fare clic su Add Security Key
2. Assegnare un nome come "MacBook Touch ID" o "iMac Touch ID"
3. Fare clic su Register — macOS mostrerà un prompt di Touch ID
4. Posizionare il dito sul sensore Touch ID
5. La registrazione si completa istantaneamente

Accesso:

1. Inserire email e password
2. Viene visualizzato un prompt "Verify your identity" — macOS mostra la finestra di Touch ID
3. Toccare il sensore — l'accesso è completato

Consigli:

• Touch ID funziona in Safari, Chrome e altri browser che supportano WebAuthn
• Se si utilizzano più Mac, registrare Touch ID su ciascuno separatamente: ogni dispositivo ha il proprio Secure Enclave
• Se Touch ID non funziona (ad esempio, dito bagnato), è possibile passare a un altro metodo nella schermata di accesso
• Le credenziali Touch ID sono legate allo specifico Mac — in caso di sostituzione del computer, sarà necessario registrarlo nuovamente

Utilizzo di un YubiKey

I YubiKey sono chiavi di sicurezza hardware USB o NFC che forniscono un'autenticazione resistente al phishing. Funzionano verificando crittograficamente il sito a cui si sta effettuando l'accesso, in modo che le credenziali non possano essere rubate da pagine di accesso false.

Configurazione:

1. Inserire il YubiKey in una porta USB (utilizzare un adattatore USB-C se necessario)
2. Accedere a Settings > Security e fare clic su Add Security Key
3. Assegnare un nome (ad esempio "YubiKey 5 NFC", "YubiKey di backup")
4. Fare clic su Register — il browser mostra un prompt per la chiave di sicurezza
5. Toccare il contatto metallico sul YubiKey quando lampeggia
6. La registrazione è completata

Accesso:

1. Inserire email e password
2. Inserire il YubiKey quando richiesto
3. Toccare il contatto metallico — l'accesso è completato

Consigli:

• Registrare almeno due YubiKey — tenerne uno di backup in un luogo sicuro
• I modelli YubiKey 5 NFC funzionano anche via NFC sui telefoni — appoggiare la chiave sul retro del telefono
• I YubiKey funzionano su tutti i dispositivi (a differenza di Touch ID che è legato alla singola macchina)
• Il YubiKey non necessita di batterie o ricarica — è alimentato dalla porta USB
• In caso di smarrimento di un YubiKey, accedere con un altro metodo, andare su Settings e rimuovere immediatamente la chiave smarrita

Utilizzo di un'app di autenticazione

Le app di autenticazione generano codici a 6 cifre che cambiano ogni 30 secondi. Questo meccanismo si chiama TOTP (Time-based One-Time Password). Il codice viene generato interamente sul dispositivo — non è necessaria una connessione internet dopo la configurazione iniziale.

App consigliate:

Configurazione:

1. Installare l'app di autenticazione preferita
2. Accedere a Settings > Security e fare clic su Enable 2FA
3. Aprire l'app di autenticazione e scansionare il codice QR visualizzato in DNScale
4. Se non è possibile scansionare, toccare "Can't scan?" per visualizzare la chiave segreta e inserirla manualmente
5. Inserire il codice a 6 cifre mostrato dall'app per verificare la configurazione
6. Salvare i codici di recupero

Accesso:

1. Inserire email e password
2. Aprire l'app di autenticazione e trovare la voce DNScale
3. Inserire il codice a 6 cifre corrente — l'accesso è completato

Consigli:

• Assicurarsi che l'orologio del telefono sia impostato su automatico — i codici TOTP dipendono dalla precisione dell'orario
• In caso di cambio telefono, esportare gli account dell'autenticatore prima di inizializzare il vecchio telefono (Google Authenticator supporta il trasferimento degli account, Authy si sincronizza automaticamente)
• Considerare l'utilizzo di un gestore di password con TOTP integrato (1Password, Bitwarden) in modo che i codici siano salvati e disponibili su tutti i dispositivi
• Effettuare uno screenshot del codice QR durante la configurazione e salvarlo nel gestore di password — questo permette di aggiungere nuovamente l'account in caso di smarrimento del telefono, senza dover disattivare e riattivare la 2FA

Best practice di sicurezza

• Utilizzare una chiave di sicurezza hardware per la massima protezione contro il phishing — WebAuthn verifica crittograficamente l'origine del sito, in modo che le credenziali non possano essere replicate su siti falsi
• Registrare una chiave di sicurezza di backup nel caso in cui la chiave principale venga smarrita, rubata o danneggiata
• Utilizzare un gestore di password per conservare i codici di recupero in modo sicuro
• Non condividere la chiave segreta TOTP, le chiavi di sicurezza o i codici di recupero con nessuno
• Mantenere l'orologio del telefono preciso — i codici TOTP sono basati sul tempo
• Rigenerare i codici di recupero dopo averne utilizzato uno qualsiasi
• Attivare la 2FA anche sull'account email — poiché l'email è un metodo di autenticazione di riserva, proteggere l'email aggiunge un ulteriore livello di difesa

Risoluzione dei problemi

"Invalid authenticator code"

• Assicurarsi di inserire il codice attualmente visualizzato nell'app (i codici cambiano ogni 30 secondi)
• Verificare che l'orologio del telefono sia impostato su ora automatica/di rete
• Se il problema persiste, provare a rimuovere e aggiungere nuovamente l'account nell'app di autenticazione, disattivando e riattivando la 2FA in DNScale

Chiave di sicurezza non riconosciuta

• Assicurarsi che la chiave sia correttamente inserita nella porta USB
• Provare una porta USB diversa o utilizzare un adattatore USB-A se necessario
• Verificare che il browser supporti WebAuthn (tutti i browser moderni lo supportano)
• Su macOS, assicurarsi di non aver disabilitato Touch ID nelle Impostazioni di Sistema
• Se si utilizza una chiave NFC, tenerla vicino al lettore NFC per qualche secondo

"The operation was cancelled"

• È possibile che sia stato chiuso il prompt del browser per la chiave di sicurezza. Fare clic nuovamente sul pulsante di verifica per riprovare.
• Alcuni browser scadono dopo circa 60 secondi — inserire la chiave e toccarla tempestivamente dopo la comparsa del prompt.

"This security key is already registered"

• La chiave che si sta cercando di registrare è già associata all'account. Ogni chiave fisica può essere registrata una sola volta per account.

"No recovery codes available"

• Tutti e 10 i codici di recupero sono stati utilizzati. Contattare il supporto per riottenere l'accesso all'account.

Dispositivo di autenticazione smarrito

• Utilizzare uno dei codici di recupero salvati per accedere
• In alternativa, utilizzare una chiave di sicurezza registrata, se disponibile
• Una volta effettuato l'accesso, andare su Settings e rimuovere il vecchio metodo TOTP, quindi configurarlo nuovamente con il nuovo dispositivo
• Se non si dispone di codici di recupero né di altri metodi MFA, contattare il supporto DNScale per una verifica manuale dell'identità

Chiave di sicurezza smarrita

• Utilizzare l'app di autenticazione o la verifica via email per accedere
• In alternativa, utilizzare un codice di recupero
• Una volta effettuato l'accesso, andare su Settings e rimuovere la chiave smarrita
• Registrare una nuova chiave di sicurezza se si dispone di un sostituto

I codici scadono troppo rapidamente

I codici TOTP sono validi per 30 secondi. Se il codice continua a scadere prima di poterlo inserire, verificare la sincronizzazione dell'orologio del dispositivo. Sulla maggior parte dei telefoni, si trova in Impostazioni > Data e ora > Automatico.