Account, Gestione

Sicurezza »Autenticazione a due fattori

Il tuo sito WordPress.com è la tua casa su Internet e vuoi che sia al sicuro. Probabilmente hai già scelto una password univoca e difficile da decifrare per il tuo account, ma puoi aggiungere un ulteriore livello di protezione abilitando l’autenticazione a due fattori.

Sommario


Cos'è l'autenticazione a due fattori?

L’autenticazione a due fattori è un metodo di protezione degli account che richiede che, per accedere, tu non solo  sappia qualcosa (una password), ma anche che tu disponga di qualcosa (il tuo dispositivo mobile o una chiave fisica). Il vantaggio di questo approccio alla sicurezza è che, anche se qualcuno indovina la tua password, per violare il tuo account dovrebbe anche averti sottratto il dispositivo.

WordPress.com to offre l’autenticazione a due fattori tramite dispositivo mobile e chiave di sicurezza fisica. Per prima cosa verifichiamo il dispositivo mobile inviandoti un codice in un paio di modi diversi. Una volta verificato il dispositivo mobile, puoi anche aggiungere un’autenticazione che utilizza invece una chiave fisica.

Dopo aver impostato l’autenticazione a due fattori, ti verrà inviato un nuovo codice da inserire ogni volta che accedi con la tua password, o dovrai collegare la tua chiave fisica prima di accedere. Questa funzionalità aggiunge un piccolo passo in più al processo di accesso, ma rende il tuo account molto più sicuro.


↑ Indice dei contenuti ↑

Configurazione con un'app di autenticazione

Per configurare l’autenticazione a due fattori tramite un’applicazione di autenticazione come Google Authenticator, Authy o Duo sul tuo dispositivo mobile, bisogna partire da un browser desktop.

Vai alla pagina delle impostazioni di Autenticazione a due fattori su WordPress.com.

Puoi anche accedere alle Impostazioni facendo clic sull’immagine del profilo dalla home page di WordPress.com:

Link del profilo

Fai clic su “Sicurezza” nel menu sul lato sinistro dello schero:

Menu dell'account, link Sicurezza

Fai clic su Autenticazione a due fattori, quindi sul pulsante che vedi qui sotto.

Impostazioni di Autenticazione a due passaggi

Ti verrà richiesto di selezionare il tuo paese e di fornire il tuo numero di cellulare (senza prefisso internazionale, spazi o trattini). Una volta inseriti i dati, fai clic su Verifica via app.

Inserisci il numero di telefono

Effettua la scansione del codice QR visualizzato con l’app di autenticazione. Inserisci il numero di sei cifre che appare sull’app e fai clic su Abilita.

Esegui la scansione e la verifica del codice QR

Infine, ti verrà chiesto di stampare i codici di backup. Non saltare questo passaggio, poiché è l’unico modo per accedere all’account senza assistenza in caso di smarrimento del tuo dispositivo.

Nota bene: Se hai scelto di bloccare le finestre popup sul tuo browser, potrebbe essere necessario disabilitare temporaneamente questa funzione in quanto impedirà l’apertura della finestra con i codici di backup.

Fai clic su Fatto!

A questo punto, l’autenticazione a due passaggi è abilitata. Puoi verificare che i codici di backup funzionano inserendone uno.

Verifica del codice di backup

↑ Indice dei contenuti ↑

Configurazione con codici via SMS

Se non riesci a configurare l’autenticazione a due fattori con un’app di autenticazione, puoi anche configurarlo con messaggi SMS. Inserisci il tuo numero di telefono come descritto sopra, ma fai clic su Verifica via SMS.

Verifica tramite SMS

Dopo qualche istante dovresti ricevere un messaggio di testo contenente un numero di 7 cifre. Inseriscilo nel campo vuoto e fai clic su Abilita.

A questo punto, puoi stampare e verificare i codici di backup come descritto sopra. Il tuo account è protetto dall’autenticazione a due fattori.

Le app per smartphone che bloccano le chiamate automatizzate potrebbero bloccare anche i nostri messaggi.


↑ Indice dei contenuti ↑

Autenticazione con chiave di sicurezza

WordPress.com supporta la verifica dell’accesso con le chiavi di sicurezza fisiche con standard WebAuthn.

Invece del codice ricevuto via SMS o tramite un’app come Google Authenticator, dopo aver inserito la password dovrai collegare una chiave fisica. A questo punto, premi il pulsante sulla chiave per completare la verifica e accedere. Senza quella chiave fisica è impossibile accedere all’account, anche conoscendo la password.

Requisiti
  • Un computer con una porta USB e l’ultima versione di un browser compatibile come Chrome, Firefox, Opera o Edge.
    (Nota bene: al momento, Chrome e Firefox mostrano una maggiore compatibilità, quindi ti consigliamo di utilizzare questi browser per un’esperienza migliore).
  • Una chiave che si collega a una porta USB e funziona con FIDO2, come YubiKey di Yubico o Titan Key di Google (i dispositivi che utilizzano lo standard FIDO U2F precedente dovrebbero funzionare ancora). Per saperne di più sui dispositivi e browser supportati, consulta la documentazione di supporto della tua chiave.
Aggiungi una chiave

Nota bene: prima di aggiungere una chiave di sicurezza, devi prima seguire i passaggi per abilitare l’autenticazione a due fattori tramite SMS o un’app di autenticazione.

Una volta impostata l’autenticazione a due fattori con un’app o via SMS, vedrai l’opzione per aggiungere una chiave di sicurezza. Fai clic su Registra chiave.

Registra chiave di sicurezza

Puoi registrare più chiavi, quindi assegna un nome alla chiave per distinguerla dalle altre che potresti aggiungere in futuro. Inserisci un nome e fai clic su Registra chiave.

A questo punto, collega la chiave a una porta USB del tuo computer e, a seconda del tipo di chiave, premi il pulsante o tocca il dischetto dorato sulla chiave.

Connetti e tocca la tua chiave di sicurezza per registrarla

Se l’operazione viene completata correttamente, vedrai un messaggio sullo schermo e la chiave comparirà nell’elenco Chiave di sicurezza.

Elenco delle chiavi di sicurezza

Una volta configurata, non potrai accedere all’account senza la chiave, quindi trattala come fossero le chiavi di casa o dell’auto: tienila al sicuro.

Potresti anche aggiungere una seconda chiave come opzione di backup. Tienila in un posto sicuro nel caso dovesse accadere qualcosa alla chiave principale. Per aggiungere chiavi, fai di nuovo clic su Registra chiave.

Rimuovi una chiave

Se vuoi rimuovere una chiave di sicurezza aggiunta in precedenza (ad esempio se la chiave è andata persa o non funziona più), puoi disconnetterla dall’account.

Vai alla pagina Autenticazione a due fattori delle impostazioni del tuo profilo, fai clic sull’icona del Cestino accanto alla chiave e fai clic su Rimuovi chiave nel messaggio di conferma.

Elimina chiave di sicurezza

↑ Indice dei contenuti ↑

Accesso

Una volta abilitata l’autenticazione a due fattori, il processo di accesso è leggermente diverso. Che tu abbia abilitato l’autenticazione a due fattori con Google Authenticator o via SMS, dovrai inserire il nome utente e la password come prima.

Immagine della schermata di accesso
Accedi a WordPress.com

Successivamente, ti verrà richiesto di inserire il codice di verifica che è stato inviato al tuo dispositivo.

Inserisci il codice di autenticazione a due passaggi

Se hai impostato l’autenticazione a due fattori con un’app di autenticazione, apri l’app sul tuo dispositivo e inserisci il numero di sei cifre. Se stai usando l’autenticazione via SMS, ti invieremo un messaggio di testo con un numero di sei cifre. Inserisci il codice per connetterti e scrivere sul tuo blog.

Se hai configurato una chiave di sicurezza, un messaggio ti chiederà se vuoi effettuare la verifica usando la chiave o tramite SMS/app di autenticazione. Per effettuare la verifica utilizzando la chiave, fai clic su Continua con la chiave di sicurezza.

Opzioni di Autenticazione a due passaggi

Un messaggio di chiederà di connettere la chiave. Collega la chiave in una porta USB del tuo computer e, a seconda del tipo di chiave, premi il pulsante o tocca il dischetto dorato sulla chiave per completare l’accesso.

Richiedi di collegare la chiave di sicurezza e completa l'accesso.

Nota bene: se passa troppo tempo, la richiesta di verifica verrà annullata e comparirà un messaggio di errore. Per riavviare la verifica, fai di nuovo clic su Continua con la chiave di sicurezza.


↑ Indice dei contenuti ↑

Codici di backup

Non vogliamo che tu perda l’accesso al tuo account WordPress.com. Devi poter accedere anche in caso di smarrimento, furto, blocco o ripristino dei dati del tuo dispositivo (che comporterebbe l’eliminazione di Google Authenticator).

Per poter sempre accedere al tuo account, puoi generare un set di dieci codici di backup monouso. Ti consigliamo di stampare i codici di backup e conservarli in un luogo sicuro come il portafoglio o un portadocumenti (non salvarli sul computer perché sarebbero accessibili a chiunque lo utilizzasse). 

Generare i codici di backup è fondamentale e deve essere fatto. Se hai bisogno di usare un codice di backup, segui il processo di accesso tipico e inserisci invece il codice di backup quando ti viene chiesto il codice di accesso.

Al termine della configurazione dell’autorizzazione a due fattori, ti verrà data la possibilità di generare codici di backup:

Stampa i codici di backup

Stampa i codici, non limitarti a salvarli, e conferma di averlo fatto. Quindi fai clic su Finito!

Se l’elenco dei backup viene perso o è compromesso, puoi generarne uno nuovo. Per maggiore sicurezza, i codici generati in precedenza non saranno più validi.

Genera nuovi codici di backup

Puoi generare i codici di backup solo da un browser desktop. Ad esempio, Safari su iOS non mostrerà i codici di backup. Inoltre, se il tuo browser è impostato per bloccare le finestre popup, dovrai disabilitare temporaneamente questa funzionalità in quanto impedirà l’apertura della finestra con i codici di backup.


↑ Indice dei contenuti ↑

Password specifiche per le applicazioni

Alcune delle app che si connettono al tuo account WordPress.com potrebbero non supportare l’autenticazione a due fattori. Le più comuni sono le app Jabber utilizzate per iscriversi ai blog di WordPress.com. Per queste app, puoi generare password univoche per ogni applicazione (ad esempio, puoi avere una password diversa sul telefono e sul tablet). Puoi quindi disabilitare singole password e bloccare l’accesso all’account alle app per impedire ad altri di accedere ai tuoi siti.

Per generare password specifiche per le applicazioni, torna a Autenticazione a due fattori e vai a “Password per applicazioni”:

Prompt delle password per le applicazioni

Dai un nome all’applicazione (nessuno oltre te vedrà questo nome, quindi puoi usarne uno qualsiasi) e fai clic su “Genera una password”. WordPress.com creerà una password unica di 16 caratteri che puoi copiare e incollare al prossimo accesso al tuo account su quel dispositivo. L’applicazione ricorderà la password per te.

Potrai trovare un elenco delle applicazioni per le quali hai generato una password sulla tua pagina Sicurezza. Se dovessi smarrire uno qualsiasi dei tuoi dispositivi o se semplicemente vuoi revocare l’accesso a una particolare applicazione, puoi visitare questa pagina in qualsiasi momento e fare clic sulla “X” per disabilitare la password e impedire all’app di accedere al tuo account:

Rimuovi la password per l'applicazione

↑ Indice dei contenuti ↑

Disabilita l'Autenticazione a due fattori

Anche se credi che la tua password sia impossibile da indovinare, ti consigliamo di non disabilitare l’autenticazione a due fattori, poiché ti offre una sicurezza maggiore. Ma se proprio vuoi farlo, puoi disabilitare questa funzionalità andando su Autenticazione a due fattori.

La pagina indicherà che la funzionalità è abilitata. Fai clic sul pulsante Disattiva l’autenticazione a due fattori. Ti verrà richiesto di inserire un codice per confermare che hai ancora accesso al dispositivo usato originariamente per impostare l’autenticazione a due fattori. Se stai utilizzando un’app di autenticazione, inserisci il codice visualizzato. Se stai utilizzando l’autenticazione via SMS, ti verrà inviato un codice. Questo codice è diverso da quello che hai usato per accedere all’account. Per completare questo passaggio, puoi anche utilizzare uno dei codici di backup.

Fai clic su Disattiva dopo aver inserito il codice e il tuo account non sarà più protetto dall’autenticazione a due fattori.

Disabilita l'Autenticazione a due passaggi

Nota bene: per disattivare l’autenticazione a due fattori non è possibile utilizzare una chiave di sicurezza, ma solo il codice ottenuto via SMS, tramite app di autenticazione o prelevato dall’elenco di backup.


↑ Indice dei contenuti ↑

Passa a un nuovo dispositivo

Se stai pianificando di passare a un nuovo dispositivo e hai abilitato l’autenticazione a due fattori, ti consigliamo di seguire questi passaggi per evitare di non riuscire più ad accedere al tuo account utente.

Se stai utilizzando un’app di autenticazione per generare codici di verifica:

  1. Stampa una serie di codici di backup per il tuo account utente seguendo questi passaggi. NON SALTARE QUESTO PASSAGGIO.
  2. Installa l’app di autenticazione sul tuo nuovo dispositivo.
  3. Disttiva il collegamento dell’autenticazione a due fattori con il tuo vecchio dispositivo seguendo questi passaggi.
  4. Per collegare il tuo account al tuo nuovo dispositivo, segui questi passaggi.
  5. Se ti viene chiesto di inserire un codice di verifica, utilizza uno di quelli di backup. I codici di backup sono monouso.
  6. A questo punto puoi disinstallare l’app di autenticazione dal tuo vecchio dispositivo.

Se usi l’app WordPress.com per dispositivi mobili per gestire il tuo sito:

  1. Crea una nuova password specifica per l’applicazione seguendo questi passaggi.
  2. Inserisci la nuova password quando usi l’app sul tuo nuovo dispositivo.

Se ricevi i tuoi codici di autenticazione via SMS, non devi aggiornare le impostazioni a meno che tu non abbia anche cambiato il numero di telefono. In tal caso, prima di disconnettere il tuo vecchio numero di telefono, imposta un nuovo numero per il recupero via SMS seguendo questi passaggi.


↑ Indice dei contenuti ↑

Se perdi il dispositivo

Se perdi il dispositivo o la chiave di sicurezza, rimuovi accidentalmente l’app di autenticazione o non riesci ad accedere al tuo account, l’unico modo per farlo è tramite un codice di backup.

Per utilizzare un codice di backup, inserisci i normali dettagli di accesso. Quando ti viene chiesto il codice di accesso, inserisci un codice di backup. Ricorda che un codice di backup è valido una volta sola, quindi usali solo quand’è necessario.