I love dBlog!
Immagine
 Gentes... di Admin
 
"
Una volta deciso che la cosa puo' e deve essere fatta, bisogna solo trovare il modo.

Abraham Lincoln
"
 
\\ MusoWeb Home Page : Articolo
Aumentare la sicurezza di Gmail con la verifica in due passaggi
Di Muso (del 08/11/2011 @ 17:04:15, in Blogosfera, linkato 3219 volte)
tratto da: Andrea Beggi, come indicato dall'autore il seguente articolo e' coperto da Licenza Creative Commons

La sicurezza della maggior parte dei nostri account dipende da un solo fattore di autenticazione, il che è abbastanza rozzo e non particolarmente sicuro; questo fattore è la password: un oggetto che può essere indovinato, forzato, smarrito, trovato in un cassetto e così via. In pratica, per accedere a un sistema, oltre al nome utente mi basta “qualcosa che so”.

Aggiungere un fattore aumenta drasticamente la sicurezza, oltre a “qualcosa che so”, mi serve “qualcosa che ho”. Un esempio noto a tutti è il bancomat: il PIN (che “so”) non serve senza la tessera (che “ho”). Un caso simile sono i token forniti dalle banche per i servizi online, ma in quel caso la sicurezza è ulteriormente incrementata perché si aggiunge il fattore tempo: le password che il token mi aiuta a generare non sono riutilizzabili (one-time password) e funzionano solo in un determinato arco di tempo.

Qualcuno potrebbe obbiettare che anche “qualcosa che ho” può essere rubato, e infatti il terzo strato di sicurezza è quello biometrico: “qualcosa che sono”. Impronte digitali o della retina o vocali, o altre forme di identificazione personale possono essere utilizzate per raggiungere un livello di sicurezza molto elevato, se combinate con i fattori visti prima. (Se poi vi picchiano per estorcervi la password, vi rubano il portafoglio per la tessera magnetica e vi cavano un occhio perché serve la vostra retina, avete un problema più grosso).

La password del vostro account Google vi fa accedere  alla vostra casella Gmail e a tutta la serie dei servizi forniti da Big G; inoltre serve per autenticarsi su tutti quei siti di terze parti che avete autorizzato nel tempo. E’ evidente che si tratta di qualcosa che deve essere custodito con la massima cura e deve essere ragionevolmente complesso.

Google stessa ha tutto l’interesse perché  il bouquet della sua offerta sia il più possibile sicuro, in modo da tranquillizzare gli utenti che vi si sono affidati. Per questo ha introdotto la possibilità di attivare su tutti gli account la verifica in due passaggi. Il processo è spiegato in dettaglio nella pagina dedicata. Vediamo di chiarire alcuni dubbi che potrebbero sorgere.

Intanto: come funziona? Una volta attivata, per accedere al vostro account Google (il caso più frequente è la posta), dovrete inserire come sempre la vostra password, dopodiché vi verrà richiesto un codice numerico che verrà immediatamente mandato via SMS. Al momento dell’inserimento, potete decidere se mantenere “registrato” il computer che state usando per un periodo di 30 giorni. Cosa significa? Se decidete di non registrare il computer, il codice verrà richiesto anche agli accessi successivi, mentre nel caso opposto passerà un mese; potete quindi discriminare tra un computer “temporaneo” ed il vostro.

Anche se la password viene rubata o intercettata, un malintenzionato non potrà accedere alla casella perché sprovvisto di PIN, e quello che avete usato sul computer non sicuro è scaduto pochi secondi dopo l’utilizzo. In pratica, il PIN rende la password ogni volta nuova, unica, utilizzabile una sola volta e in un arco ristretto di tempo. Non male.

Analogamente alla spiegazione precedente, adesso i fattori sono due: qualcosa che “sapete” (password) con qualcosa che “avete” (il cellulare). Inoltre, la sicurezza è ulteriormente aumentata dalla password one-time che scade dopo pochi secondi. Naturalmente in questo caso la vostra password originale non cambia, è l’unione con il PIN che la rende unica ogni volta. Anche se qualcuno viene a conoscenza, indovina o ruba la password, essa è inutile senza il vostro cellulare.

Per attivare la verifica in due passaggi (2 step authentication) è necessario collegare un telefono cellulare al vostro account Google. Il numero verrà utilizzato solo per l’invio dei PIN necessari all’autenticazione. Se possedete uno smartphone, potete anche utilizzare in alternativa un’apposita applicazione gratuita fornita da Google. Il dispositivo va autorizzato tramite un codice o un QR code, e da quel momento in poi il PIN sarà fornito da Google Authenticator, che in pratica trasforma il vostro smartphone in un token software concettualmente analogo ai token forniti dalle banche o dalle aziende per l’accesso VPN. Authenticator esiste per Android, iCoso e BlackBerry.

Ma non tutte le applicazioni supportano la 2 step authentication: il caso più comune sono i client di posta e le applicazioni desktop che accedono ai servizi Google. In questo caso vanno create delle password “dedicate” per ciascuna applicazione. La spiegazione di Google è un po’ fumosa, al riguardo. In realtà il concetto è semplice: per le applicazioni che non supportano il PIN (G. lo chiama “codice di verifica”) è necessario far creare dal sistema una nuova password. Benché sia possibile utilizzare la stessa per diverse cose, è più flessibile fare in modo che ciascun programma abbia la sua, in modo da poter in qualunque istante revocare la validità delle credenziali di una singola applicazione. E’ per questo che al momento della creazione viene chiesta un’etichetta: in modo da poter distinguere. Esempio (brutto): vi rubano il portatile ma voi potrete disattivare le credenziali di Mail o di Outlook senza che la posta e la sincronizzazione sul vostro Android/iPhone/BlackBerry smetta di funzionare. Fate attenzione che la password generata viene mostrata una sola volta, se la dimenticate, dovete cancellarla e ricrearla, quindi nella applicazione in cui la userete assicuratevi di selezionare “ricorda password”, a meno che non vogliate usarne una nuova di zecca ogni volta.

“Ma ho lasciato il cellulare (o lo smartphone) a casa, come faccio a ricevere il PIN?” C’è una soluzione: durante il processo di attivazione potrete stampare una tabella analoga a quella che vedete nell’immagine a lato, con una serie di PIN utilizzabili una sola volta in caso non disponiate temporaneamente del dispositivo di autenticazione che avete registrato. E’ una soluzione meno “robusta” perché i codici non scadono, ma è ugualmente “una cosa che avete” e non è riutilizzabile. Naturalmente dovete tenere questi codici al sicuro, nel vostro portafoglio, oppure online su un altro servizio. Potete generare nuovi “pin pad” accedendo alle impostazioni della 2-step-authentication nel vostro account Google.

L’autenticazione in due fattori aumenta drasticamente la sicurezza del vostro account e lo protegge da intercettazioni, furti e altre pratiche illecite. Utilizzando questo processo si possono tagliare fuori gran parte degli attacchi più banali e alla portata di molti, rendendo il vostro account meno “appetibile” di altri più vulnerabili. Un plauso a Google che in questo caso dimostra attenzione per la sicurezza dei suoi utenti.

Articolo Articolo  Storico Storico Stampa Stampa

Technorati tag  account; autenticazione; gmail; google; informatica; password; sicurezza;

Potrebbero interessarti anche i seguenti articoli....

I FEED RSS - Un video per capire (11%)
Come migliorare le tue ricerche in Google (20%)
Simulatore di volo "nascosto" in Google Earth (75%)
Guerra all'alcool (11%)
Con un sito ti cracco il router (67%)
Unicode in 5 minuti (17%)
La madre di tutte le falle informatiche risolta in segreto: siete ancora a rischio? (18%)
Google: capire se il tuo provider filtra il traffico (12%)
Gestione date con la libreria JodaTime (2%)
Eclipse - Ant - Unsupported major.minor version 49.0 (25%)
Debug di applicazioni remote con tomcat ed eclipse (20%)
ubuntu proxy authentication (8%)
Fav7, creare una pagina web per condividere 7 URL in un solo colpo (9%)
Problem running eXist in eclipse (25%)
Come inserire codice HTML nei post (25%)
SpringSource Tool Suite - STS - "Could not create the Java virtual machine" (25%)
40 DataStage Learning, Tutorial and Certification Online Resources (1%)
Problemi di spam in dBlog? Ecco come aggiungere reCaptcha a dBlog (2%)
Cannot proxy target class because CGLIB2 is not available (33%)
java.lang.NoSuchMethodError: org.objectweb.asm.ClassWriter.(Z)V (9%)
Log4J exception example - How to print the stack trace of an exception using Log4J (or Commons Logging) (17%)
Setting up a local Subversion repository to use with your Eclipse (8%)
The Death of WebSphere and WebLogic App Servers? New Infographic shows the Rise of OSS Java (12%)
NASA unplugs last mainframe (5%)
Albine Protected Search: l'add-on che nasconde le nostre ricerche da Google (33%)
 
# 1
______
Di  Rebbeca  (inviato il 05/11/2017 @ 02:17:17)
' Il seguente campo NON deve essere compilato.
Anti-Spam:
Testo (max 1000 caratteri)
Nome
e-Mail / Link


Disclaimer
L'indirizzo IP del mittente viene registrato, in ogni caso si raccomanda la buona educazione.


Blog ON-LINE dal 01/06/2007 
Sono state qui' 4518 persone
Sono state viste 6828 pagine
Oggi ho ricevuto 0 visite
Ieri ho ricevuto 1 visite
 
Locations of visitors to this page
 
Add to Technorati Favorites

Ci sono 418 persone collegate

< gennaio 2019 >
L
M
M
G
V
S
D
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
     
             

Cerca per parola chiave
 

Titolo
Blogosfera (11)
Eventi (12)
Films (2)
Gossip Corner (4)
Informatica (51)
Lo sapevi che (49)
Personali (24)
Politica (39)
Racconti (16)
Recensioni (2)
Societa' (6)
società (11)
Spazio DIL (2)
Sport (8)
Tecnologia (21)
Top 5 (3)
Vendesi (4)

Gli interventi più cliccati

Ultimi commenti:
Chiamo Antonella Gro...
02/05/2018 @ 13:43:31
Di Antonella
Chiamo Laura Luzchni...
16/04/2018 @ 18:03:13
Di Laura Luzchniak
Avete bisogno di ass...
03/04/2018 @ 18:56:10
Di gerard

Titolo
Eventi (16)
Header (7)
Informatica (3)
Personali (23)
Sport (14)
Vendesi (7)

Le fotografie più cliccate

Titolo
Ti piace questo blog?

 Fantastico!
 Carino...
 Così e così
 Bleah!

Titolo

Listening
Vasco
Ligabua
Doors
Caparezza
U2
Rolling Stones
Beatles

Reading
Franceschi - Fiabe della Bouna Notte
Ken Follett

Watching
Diamanti di Sangue - Blood Diamond
L'ombra del potere - The Good Shepherd



Errore Flickr RSS.




18/01/2019 @ 21:42:35
script eseguito in 1127 ms


Visitor locations