Autenticazione a due fattori di Google più semplice e sicura

Autenticazione 2FA

Quando un account Google registra accessi da utenti terzi senza autorizzazione si parla di “compromissione dei dati” dell’account.

Spesso ciò accade perché i proprietari degli account utilizzano semplici password per proteggersi o perché hanno risposto ad e-mail fraudolente cadendo in casi di “phishing”.

Cos’è il phishing

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso.

In caso di furto di account aziendali, le problematiche possono essere molteplici. 

Di solito hacker professionisti vogliono entrare in possesso di dati bancari per svuotare i conti dei malcapitati o per ottenere il pagamento di riscatti in cambio di  ridare il controllo degli account ai legittimi proprietari. 

Le casistiche sono molte e delle più varie e Google ne è a conoscenza. 

Per risolvere il problema e proteggere gli utenti, Google consiglia di attivare l’autenticazione a due fattori che prevede l’uso di due elementi diversi di verifica per accedere agli account. 

Vediamo cos’è l’autenticazione a due fattori e le possibilità che possono integrarsi con questo sistema di sicurezza.

Cos’è l’autenticazione a due fattori 2FA

L’autenticazione a due fattori (2FA), nota anche come verifica in due passaggi o 2 Steps Verification (2SV), è un sistema sicuro di gestione degli accessi che richiede due passaggi di identificazione per entrare nel proprio account.

Il sistema si compone di un primo metodo di verifica e un secondo metodo che può variare.

L’autenticazione a 2 Fattori richiede come primo metodo di verifica le credenziali username e password e poi, come secondo metodo ad esempio, un codice inviato tramite SMS.

Gli esperti di Google infatti, spiegano che il secondo metodo di verifica può essere scelto dagli utenti tra tre tipi di fattori diversi: 

  • Un’informazione: ad esempio, l’utente deve inserire un codice ricevuto tramite SMS oppure deve rispondere a una domanda di sicurezza. 
  • Un oggetto fisico: ad esempio, l’utente deve inserire un codice scritto nel retro di una carta di credito. 
  • Un dato biometrico: come lo sblocco dello schermo di uno smartphone con la propria impronta. 

Tutte le strategie di autenticazione a due fattori usano una combinazione tra le credenziali e una di queste diverse opzioni. 

Questo metodo non è utilizzato solo da Google e di solito è conosciuto come metodo di accesso ai portali di istituti bancari o gestionali aziendali.

Da Gennaio 2024 anche Microsoft ha attivato l’autenticazione a 2 fattori per gli accessi agli applicativi di Office 365 eseguibili tramite le credenziali e poi da un secondo metodo a scelta: 

  • una chiamata o un SMS ricevuto sul cellulare 
  • oppure un codice ricevuto via mail o via app “Microsoft authenticator”. 

Google, in un articolo pubblicato il 6 maggio 2024, ha recentemente spiegato di aver semplificato e potenziato la protezione degli account con un aggiornamento del processo di autenticazione a due fattori.

Di base in passato, dopo aver inserito le credenziali, agli utenti era richiesto di inserire il numero di telefono prima di poter ricevere un messaggio e questo era l’unico metodo per “attivare” l’invio del codice come secondo metodo di verifica della 2FA.

Ora invece, Google offre agli utenti la flessibilità di scegliere metodi più sicuri come app di autenticazione o chiavi di sicurezza fisiche come primo passo per poi attivare la 2FA.

L’app di autenticazione di Google si chiama Google Authenticator.

Vediamo insieme di cosa si tratta.

Google Authenticator

La funzione di base di Google Authenticator di fatto è quella di generare a intervalli di circa 30 secondi dei codici casuali randomici OTP (One Time Password) ovvero codici monouso che vengono generati in automatico dall’app, senza il bisogno di utilizzare la connessione dati.

Questi codici possono essere utilizzati come secondo metodo di verifica 2FA oltre alle credenziali o come step successivo alle credenziali per poi attivare la 2FA

I codici di Google Authenticator possono essere trasferiti a più dispositivi per consentire accessi da più fonti (pc, tablet e smartphone insieme ad esempio).

Se hai eseguito l’accesso al tuo Account Google in Google Authenticator da almeno un dispositivo, l’app eseguirà automaticamente il backup e il ripristino dei tuoi codici su tutti i nuovi dispositivi in cui effettuerai gli accessi.

Se non hai eseguito l’accesso a un account Google nell’app Google Authenticator, puoi anche trasferire manualmente i codici su un altro dispositivo installando su entrambi i dispositivi, il vecchio e il nuovo, la versione più recente dell’app Google Authenticator e utilizzare l’opzione “esporta account”.

Authenticator non è legato al solo account con cui si accede. Al contrario, può generare codici anche per più account Google dallo stesso dispositivo mobile basta che in ogni account Google venga attivata la verifica in due passaggi e, per ognuno, si definisca una chiave segreta diversa.

Google Authenticator

Google authenticator è stata scelta da più di 100 milioni di utenti ed oltre il 50% delle recensioni esprimono un voto di 5 stelle su 5 come soddisfazione dell’utente. 

Integrazioni e alternative all’autenticazione 2FA

Google offre ai suoi utenti anche la possibilità di usare passkey al posto dell’autenticazione a due fattori o come integrazione.

Le passkey infatti, possono essere utilizzate come secondo passaggio oltre alle credenziali adottando l’autenticazione 2FA oppure possono essere create sui tuoi dispositivi o sui token di sicurezza hardware come alternativa all’autenticazione 2FA.

Una passkey infatti consente agli utenti di accedere a siti web e app senza dover ricordare una password e l’utente deve semplicemente autenticarsi utilizzando le proprie credenziali biometriche, come un impronta digitale o il riconoscimento facciale.

Le passkey possono essere generate sullo smartphone o sul computer in uso o su token fisici esterni.

Per crearlo dal dispositivo di utilizzo su Google basta navigare tra le opzioni di “login” di Google e selezionare “Crea una passkey” e poi “Continua su questo dispositivo” e quindi impostare un PIN o un metodo biometrico come la scansione del volto.

Invece per usare il token esterno USB in qualità di passkey basta scegliere l’opzione “Crea una passkey” e poi “Usa un altro dispositivo”  e sarà la chiave USB a creare il codice di autenticazione.

I token di sicurezza esterni tipo USB sono dispositivi hardware che vengono prodotti seguendo standard di sicurezza normati e certificati e che si collegano al dispositivo in questione tramite sistema NFC o Bluetooth.

Lo standard di autenticazione è chiamato U2F (Universal 2nd Factor) ed è sviluppato dal consorzio FIDO che è un’abbreviazione e significa «Fast Identity Online» letteralmente “Identità veloce Online”. 

Google fa parte di questo consorzio insieme a società quali Microsoft, Mastercard e PayPal. Il consorzio Fido nel sito “Fido Alliance” mostra i dati sui vantaggi ottenuti dai clienti nell’utilizzare i suoi token:

  • Riduzione del tempo di accesso del 75%.
  • Miglioramento della percentuale di accesso riuscito di 4 volte superiore al metodo classico della password.
  • Riduzione della reimpostazione della password del 95%.

Il mercato dei token ha avuto grande successo data l’efficacia del prodotto di ridurre il rischio del furto dei dati al solo caso in cui gli hacker entrano in possesso fisico del token.

Un consiglio sempre valido è che se non vuoi che altri utenti accedano al tuo account, non creare una passkey su un dispositivo condiviso. 

I brand più famosi al mondo utilizzano il sistema FIDO così come mostrato nell’immagine sottostante. 

Clienti di Fido Alliance

inWebo e l’autenticazione MFA deviceless e passwordless 

L’autenticazione a 2 fattori è il metodo scelto da Google per proteggere i suoi account ma in materia di sicurezza informatica ci sono diversi attori di mercato che cercano di sviluppare le proprie soluzioni.

L’autenticazione multi fattore o “Multi Factor Authentication” (MFA) offre una protezione completa per svariati usi ed è un metodo alternativo a quella a 2 fattori.

inWebo è un attore chiave a livello internazionale nel settore della sicurezza informatica perché ha brevettato la sua soluzione MFA sotto forma di software SaaS.

Si tratta della  “Deviceless & Passwordless MFA” ovvero autenticazione multi fattore 

  • senza bisogno di inserire password: l’utente deve solo ricordare un PIN senza necessità di ricopiare l’OTP e
  • senza l’utilizzo di dispositivi fisici per accedere ai propri servizi e quindi non è necessario possedere uno smartphone o avere una chiave fisica o installare un’app per effettuare accessi. 

Stiamo parlando di un “token software non tangibile” ovvero di un “software virtuale” installato sul “dispositivo” dell’utente grazie alla tecnologia avanzata delle chiavi dinamiche casuali inWebo.

Gli utenti utilizzano inWebo MFA per proteggere transazioni, per accedere ad applicazioni B2B, VPN, SSO, PAM, IAM e applicazioni consumer sensibili (online banking, e-health, ecc.) dal furto di identità.

Certificata dall’agenzia nazionale francese per la sicurezza informatica (ANSSI), la soluzione di inWebo garantisce l’accesso di oltre 5 milioni di utenti in 500 aziende in tutto il mondo.

inWebo la soluzione MFA

Svantaggi dell’autenticazione a 2 fattori e delle passkey

L’autenticazione a due fattori presenta anche degli svantaggi ma conoscendoli si possono evitare problemi legati al tipo di secondo metodo di verifica scelto.

In caso Google richieda una verifica improvvisa dell’account, chi usa i codici inviati tramite SMS dovrà avere il telefono cellulare a portata di mano e sempre funzionante. 

A volte gli utenti dimenticano semplicemente di ricaricare il proprio credito telefonico, perdono il telefono o cambiano numero e per questi motivi l’accesso potrebbe essere bloccato.

Hacker professionisti possono riuscire a clonare schede telefoniche e in quel caso potrebbero ricevere l’SMS al posto del proprietario e compromettere l’account.

Per questi motivi la protezione di un account ad uso aziendale affidata al solo SMS non è il secondo metodo di verifica più indicato.

Se viene utilizzata l’e-mail per confermare l’accesso, assicurati di utilizzare un’email diversa da quella dell’account Google e che quindi la password per l’accesso al tuo account e quella per l’accesso alla tua mail siano diverse.

Un malintenzionato che riesce a ottenere la password dell’account quando le password dell’ account e quella della mail coincidono, potrebbe direttamente accedere anche alla mail riuscendo così a bypassare la protezione aggiuntiva della 2FA.

In caso ci si affidi all’app Google Authenticator e il proprio smartphone venga perso o rubato, i codici di Google Authenticator si troveranno memorizzati localmente sul dispositivo. Per rimuovere i codici si dovrà usare l’opzione di reset del dispositivo da remoto per iOS o Android. 

Le passkey hanno invece dei limiti riguardanti la necessità di essere connesse a un dispositivo che ammetta la lettura di dati biometrici. In generale le passkey sono ancora una tecnologia relativamente nuova e non tutte le piattaforme e app le supportano.

Con i token i problemi potrebbero sorgere in caso di smarrimento o furto della pennetta.

La nota positiva è che l’utente che perde il token di sicurezza può rimuoverlo dall’account e aggiungerne uno nuovo. 

Un’altra soluzione consiste nel registrare un secondo token di sicurezza fin dall’inizio e conservarlo in un luogo sicuro.

Da ultimo, i due token fisici più comuni sul mercato sono le smart card e i token USB e ciò  richiede che l’utente disponga rispettivamente di un lettore di smart card e di una porta USB.

Pros and cons

Conclusioni

La sicurezza online è fondamentale per tutti, privati e aziende. 

Per questo, noi di Neting ti consigliamo di attivare l’autenticazione a due fattori su tutti i tuoi account online e specialmente quelli aziendali.

Una garanzia per tutti gli utenti aggiuntiva che ci sentiamo di consigliare è quella di monitorare l’elenco di dispositivi su cui il proprio Account Google registra accessi.

Qualora un utente terzo cercasse di accedere da un dispositivo non presente nell’elenco potresti bloccarne la navigazione e difenderti da utenti malintenzionati.

Condividi
Condividi su facebook
Condividi su google
Condividi su twitter
Condividi su linkedin
guest
0 Commenti
Inline Feedbacks
View all comments

Potrebbe Interessarti

Condividi
Condividi su facebook
Facebook
Condividi su linkedin
LinkedIn

Ecco la tua checklist

Ci sei quasi, ti stiamo inviando la tua checklist editabile. Compila il form qui sotto. Grazie!

Checklist Sito Web Popup