Sicurezza e autenticazione a due fattori
Sicurezza dell'account: autenticazione a due fattori e connessioni sospette
Introduzione
Fotostudio integra ora diversi meccanismi per proteggere il tuo account: autenticazione a due fattori (MFA), rilevamento delle connessioni insolite, storico delle connessioni e invalidazione automatica delle sessioni in caso di cambio password.
Autenticazione a due fattori (MFA)
Cos'è?
L'autenticazione a due fattori aggiunge un secondo passaggio alla tua connessione. Dopo aver inserito la tua password, devi inserire un codice a 6 cifre generato da un'app di autenticazione sul tuo telefono. Anche se qualcuno ruba la tua password, non può accedere al tuo account senza il tuo telefono.
Quale app utilizzare?
L'MFA di Fotostudio si basa sul protocollo TOTP (standard aperto RFC 6238), compatibile con tutte le app di autenticazione sul mercato:
- Google Authenticator (iOS / Android)
- Authy
- Microsoft Authenticator
- 1Password, Bitwarden, ecc.
Attivare l'MFA
- Vai in Il mio account → Sicurezza → Autenticazione a due fattori
- Installa un'app di autenticazione sul tuo telefono
- Scansiona il codice QR visualizzato con la tua app
- Inserisci il codice a 6 cifre generato dall'app per confermare
- Scegli la frequenza di verifica (vedi sotto)
- Salva i tuoi codici di recupero (passaggio critico, vedi sezione dedicata)
Frequenza di verifica
Durante l'attivazione, scegli quando ti viene richiesto il codice:
Opzione | Comportamento |
|---|---|
Ad ogni connessione | Il codice è sempre richiesto, senza eccezioni |
Alla connessione da un browser sconosciuto | Il codice viene memorizzato 90 giorni su questo browser tramite un cookie sicuro. Ti verrà richiesto nuovamente se cambi browser o dispositivo, svuoti i tuoi cookie, cambi la tua password, o ti connetti da un paese insolito |
Da notare: in modalità "browser sconosciuto", se torni sempre sullo stesso browser senza svuotare i tuoi cookie, il codice non ti verrà più richiesto per 90 giorni. È una scelta di comfort deliberata, simile al comportamento di siti importanti come Google.
Disattivare l'MFA
Vai in Il mio account → Sicurezza → Autenticazione a due fattori e clicca su Disattiva. Viene richiesta una conferma.
Codici di recupero
Perché è importante
Se perdi l'accesso al tuo telefono (furto, guasto, nuova app), i codici di recupero sono l'unico modo per connetterti. Senza di essi, il tuo account sarebbe inaccessibile.
Come funziona
- All'attivazione dell'MFA, vengono generati 10 codici di recupero e mostrati una sola volta
- Ogni codice è nel formato
XXXX-XXXX-XXXX - Un codice è monouso: una volta utilizzato, è definitivamente invalidato
- Si utilizzano al posto del codice TOTP sulla pagina di connessione MFA
Come salvarli
- Nel tuo gestore di password (1Password, Bitwarden...)
- In un file criptato
- Stampati e conservati in un luogo sicuro
Rigenerare i codici
Se ti avvicini a 0 codici rimanenti, o se pensi che i tuoi codici siano stati compromessi:
- Vai in Il mio account → Sicurezza → Autenticazione a due fattori
- Clicca su Rigenera i codici di recupero
- I vecchi codici sono immediatamente invalidati
- Salva i nuovi codici
Il numero di codici rimanenti è visualizzato sulla pagina Sicurezza. Un avviso appare automaticamente quando ne rimangono 2 o meno.
Rilevamento delle connessioni insolite
Fotostudio analizza automaticamente ogni connessione e confronta il paese dell'indirizzo IP attuale con quello dell'ultima connessione conosciuta.
Cosa succede in caso di connessione sospetta?
Email di avviso automatico - ricevi un'email che indica:
- Il paese rilevato
- L'indirizzo IP
- La data e l'ora della connessione
- Un link diretto per cambiare la tua password
- Un link per attivare l'MFA se non è ancora fatto
Se hai l'MFA attivo - anche se il tuo browser era contrassegnato come "di fiducia", il codice TOTP ti viene automaticamente richiesto di nuovo in caso di connessione da un paese diverso.
Cosa non attiva un avviso
- Stesso paese, indirizzo IP diverso (cambio di rete, 4G → WiFi, ecc.)
- Connessioni da indirizzi locali (rete interna, sviluppo)
Se ricevi un'email di avviso e non sei tu l'origine di questa connessione, cambia immediatamente la tua password tramite il link nell'email.
Storico delle connessioni e pagina Sicurezza
La pagina Il mio account → Sicurezza centralizza tutte le informazioni di sicurezza del tuo account:
Stato MFA
- Se l'MFA è attivo: data di attivazione, numero di codici di recupero rimanenti, link alla gestione
- Se l'MFA è inattivo: invito ad attivarlo con link diretto
Storico delle connessioni
Mostra le ultime 50 connessioni al tuo account con:
Colonna | Dettaglio |
|---|---|
Data | Data e ora della connessione |
Paese | Paese rilevato tramite l'indirizzo IP |
Indirizzo IP | IP utilizzato durante la connessione |
Browser | User-agent del browser |
⚠️ | Connessione da un paese insolito |
🔒 | Codice MFA verificato durante questa connessione |
Cambio password
Quando cambi la tua password da Il mio profilo, diverse azioni di sicurezza si attivano automaticamente:
- Tutte le altre sessioni attive vengono invalidate - chiunque sia connesso al tuo account su un altro dispositivo viene immediatamente disconnesso
- La fiducia di tutti i dispositivi MFA viene revocata - il codice TOTP verrà richiesto nuovamente su tutti i dispositivi alla prossima connessione, anche quelli precedentemente memorizzati
Protezione contro gli attacchi di forza bruta
In aggiunta all'MFA, Fotostudio limita automaticamente i tentativi di connessione:
Punto di accesso | Limite |
|---|---|
Pagina di login (per IP) | 5 tentativi al minuto |
Pagina di login (per email) | 10 tentativi per 10 minuti |
Codice MFA | 5 tentativi per 5 minuti |
Reimpostazione password | 10 tentativi per 10 minuti |
Oltre questi limiti,
Aggiornato il: 18/06/2026
Grazie!