tratto da: Andrea Beggi, come indicato dall'autore il seguente articolo e' coperto da Licenza Creative Commons
La sicurezza della maggior parte dei nostri account dipende da un solo fattore di autenticazione, il che è abbastanza rozzo e non particolarmente sicuro; questo fattore è la password: un oggetto che può essere indovinato, forzato, smarrito, trovato in un cassetto e così via. In pratica, per accedere a un sistema, oltre al nome utente mi basta “qualcosa che so”.
Aggiungere un fattore aumenta drasticamente la sicurezza, oltre a “qualcosa che so”, mi serve “qualcosa che ho”. Un esempio noto a tutti è il bancomat: il PIN (che “so”) non serve senza la tessera (che “ho”). Un caso simile sono i token forniti dalle banche per i servizi online, ma in quel caso la sicurezza è ulteriormente incrementata perché si aggiunge il fattore tempo: le password che il token mi aiuta a generare non sono riutilizzabili (one-time password) e funzionano solo in un determinato arco di tempo.
Qualcuno potrebbe obbiettare che anche “qualcosa che ho” può essere rubato, e infatti il terzo strato di sicurezza è quello biometrico: “qualcosa che sono”. Impronte digitali o della retina o vocali, o altre forme di identificazione personale possono essere utilizzate per raggiungere un livello di sicurezza molto elevato, se combinate con i fattori visti prima. (Se poi vi picchiano per estorcervi la password, vi rubano il portafoglio per la tessera magnetica e vi cavano un occhio perché serve la vostra retina, avete un problema più grosso).
La password del vostro account Google vi fa accedere alla vostra casella Gmail e a tutta la serie dei servizi forniti da Big G; inoltre serve per autenticarsi su tutti quei siti di terze parti che avete autorizzato nel tempo. E’ evidente che si tratta di qualcosa che deve essere custodito con la massima cura e deve essere ragionevolmente complesso.
Google stessa ha tutto l’interesse perché il bouquet della sua offerta sia il più possibile sicuro, in modo da tranquillizzare gli utenti che vi si sono affidati. Per questo ha introdotto la possibilità di attivare su tutti gli account la verifica in due passaggi. Il processo è spiegato in dettaglio nella pagina dedicata. Vediamo di chiarire alcuni dubbi che potrebbero sorgere.
Intanto: come funziona? Una volta attivata, per accedere al vostro account Google (il caso più frequente è la posta), dovrete inserire come sempre la vostra password, dopodiché vi verrà richiesto un codice numerico che verrà immediatamente mandato via SMS. Al momento dell’inserimento, potete decidere se mantenere “registrato” il computer che state usando per un periodo di 30 giorni. Cosa significa? Se decidete di non registrare il computer, il codice verrà richiesto anche agli accessi successivi, mentre nel caso opposto passerà un mese; potete quindi discriminare tra un computer “temporaneo” ed il vostro.
Anche se la password viene rubata o intercettata, un malintenzionato non potrà accedere alla casella perché sprovvisto di PIN, e quello che avete usato sul computer non sicuro è scaduto pochi secondi dopo l’utilizzo. In pratica, il PIN rende la password ogni volta nuova, unica, utilizzabile una sola volta e in un arco ristretto di tempo. Non male.
Analogamente alla spiegazione precedente, adesso i fattori sono due: qualcosa che “sapete” (password) con qualcosa che “avete” (il cellulare). Inoltre, la sicurezza è ulteriormente aumentata dalla password one-time che scade dopo pochi secondi. Naturalmente in questo caso la vostra password originale non cambia, è l’unione con il PIN che la rende unica ogni volta. Anche se qualcuno viene a conoscenza, indovina o ruba la password, essa è inutile senza il vostro cellulare.
Per attivare la verifica in due passaggi (2 step authentication) è necessario collegare un telefono cellulare al vostro account Google. Il numero verrà utilizzato solo per l’invio dei PIN necessari all’autenticazione. Se possedete uno smartphone, potete anche utilizzare in alternativa un’apposita applicazione gratuita fornita da Google. Il dispositivo va autorizzato tramite un codice o un QR code, e da quel momento in poi il PIN sarà fornito da Google Authenticator, che in pratica trasforma il vostro smartphone in un token software concettualmente analogo ai token forniti dalle banche o dalle aziende per l’accesso VPN. Authenticator esiste per Android, iCoso e BlackBerry.
Ma non tutte le applicazioni supportano la 2 step authentication: il caso più comune sono i client di posta e le applicazioni desktop che accedono ai servizi Google. In questo caso vanno create delle password “dedicate” per ciascuna applicazione. La spiegazione di Google è un po’ fumosa, al riguardo. In realtà il concetto è semplice: per le applicazioni che non supportano il PIN (G. lo chiama “codice di verifica”) è necessario far creare dal sistema una nuova password. Benché sia possibile utilizzare la stessa per diverse cose, è più flessibile fare in modo che ciascun programma abbia la sua, in modo da poter in qualunque istante revocare la validità delle credenziali di una singola applicazione. E’ per questo che al momento della creazione viene chiesta un’etichetta: in modo da poter distinguere. Esempio (brutto): vi rubano il portatile ma voi potrete disattivare le credenziali di Mail o di Outlook senza che la posta e la sincronizzazione sul vostro Android/iPhone/BlackBerry smetta di funzionare. Fate attenzione che la password generata viene mostrata una sola volta, se la dimenticate, dovete cancellarla e ricrearla, quindi nella applicazione in cui la userete assicuratevi di selezionare “ricorda password”, a meno che non vogliate usarne una nuova di zecca ogni volta.
“Ma ho lasciato il cellulare (o lo smartphone) a casa, come faccio a ricevere il PIN?” C’è una soluzione: durante il processo di attivazione potrete stampare una tabella analoga a quella che vedete nell’immagine a lato, con una serie di PIN utilizzabili una sola volta in caso non disponiate temporaneamente del dispositivo di autenticazione che avete registrato. E’ una soluzione meno “robusta” perché i codici non scadono, ma è ugualmente “una cosa che avete” e non è riutilizzabile. Naturalmente dovete tenere questi codici al sicuro, nel vostro portafoglio, oppure online su un altro servizio. Potete generare nuovi “pin pad” accedendo alle impostazioni della 2-step-authentication nel vostro account Google.
L’autenticazione in due fattori aumenta drasticamente la sicurezza del vostro account e lo protegge da intercettazioni, furti e altre pratiche illecite. Utilizzando questo processo si possono tagliare fuori gran parte degli attacchi più banali e alla portata di molti, rendendo il vostro account meno “appetibile” di altri più vulnerabili. Un plauso a Google che in questo caso dimostra attenzione per la sicurezza dei suoi utenti.