Questione sicurezza: risolta

L'autenticazione a due fattori può aiutare gli utenti a proteggersi meglio online. L'Account Google offre diverse opzioni in questo senso.

Una compromissione dei dati riuscita può avere conseguenze spiacevoli. Si sono verificati casi in cui utenti malintenzionati sconosciuti hanno usato gli account delle loro vittime per trollare a loro nome sui social media o per inviare email fraudolente. Altre persone hanno visto scomparire fondi dai propri conti bancari online. Spesso le vittime si accorgono della compromissione dei loro account soltanto quando ormai il danno è fatto.

Un motivo per cui il furto di dati si ripete continuamente è che la maggior parte degli utenti fa eccessivamente affidamento sulle proprie password per proteggere i dati online. Le persone non sono a conoscenza dell'esistenza di elenchi online contenenti milioni di combinazioni di nome utente e password. Questi "dump di password", come vengono chiamati dagli esperti, sono raccolte di dati recuperati tramite diversi furti di dati andati a buon fine. Dato che in molti utilizzano le stesse password in più contesti diversi, i dati di accesso dei relativi Account Google possono essere presenti in questi "dump di password" anche se i loro account non sono stati effettivamente compromessi. Un'altra minaccia costante è costituita dal phishing, ossia tentativi fraudolenti di ottenere password e altre informazioni tramite siti web o email apparentemente affidabili.

Ecco perché società come Google consigliano agli utenti di proteggere il loro account online tramite l'autenticazione a due fattori, che prevede l'uso di due fattori separati per accedere, ad esempio una password e un codice inviato tramite SMS. Questo metodo di autenticazione è diventato molto comune, in particolare per le banche e le società che emettono carte di credito.

Gli esperti di sicurezza distinguono tre tipi di fattori di sicurezza di base. Il primo è un'informazione ("qualcosa che conosci"): ad esempio, l'utente deve inserire un codice ricevuto tramite SMS oppure deve rispondere a una domanda di sicurezza. Il secondo è un oggetto fisico ("qualcosa che possiedi") che può essere usato per l'autenticazione, ad esempio una carta di credito. Il terzo è un dato biometrico ("qualcosa che ti caratterizza"), com'è il caso ad esempio dello sblocco dello schermo di uno smartphone con la propria impronta. Tutte le strategie di autenticazione a due fattori usano una combinazione di due di questi diversi elementi.

Google offre diversi tipi di autenticazione a due fattori. Oltre alla classica password, gli utenti possono inserire un codice di sicurezza monouso che ricevono tramite SMS o chiamata oppure che generano nell'app Google Authenticator, supportata da Android e da iOS, il sistema operativo per dispositivi mobili di Apple. Gli utenti possono anche specificare un elenco di dispositivi attendibili nel proprio Account Google. Se un utente cerca di accedere da un dispositivo non presente nell'elenco, riceve un avviso di sicurezza da Google.

Da tre anni a questa parte, Google offre ai suoi utenti anche la possibilità di usare un token di sicurezza fisico. Si tratta di un token USB, NFC o Bluetooth che deve essere collegato al dispositivo in questione. La procedura è basata su uno standard di autenticazione aperto chiamato U2F (Universal 2nd Factor), sviluppato dal consorzio FIDO. Google fa parte di questo consorzio insieme a società quali Microsoft, Mastercard e PayPal. Esistono vari produttori che offrono token di sicurezza basati sullo standard U2F a prezzi convenienti. I token di sicurezza si sono rivelati molto efficaci: dallo loro introduzione, il rischio di furto dei dati si è ridotto notevolmente. Ipoteticamente un account online può essere compromesso da qualsiasi parte del mondo, mentre un token di sicurezza fisico deve essere effettivamente nelle mani dei ladri (che avrebbero bisogno anche dei dati di accesso delle vittime per accedere all'account). Diverse società, oltre a Google, supportano già questi token di sicurezza.

Ovviamente l'autenticazione a due fattori presenta anche degli svantaggi. Chi usa i codici inviati tramite SMS deve avere a portata di mano il telefono cellulare quando accede da un nuovo dispositivo e i token USB e Bluetooth potrebbero essere smarriti. Ma non si tratta di problemi insormontabili, che vale sicuramente la pena affrontare se si considera quanta sicurezza aggiuntiva offrono questi metodi. L'utente che perde il token di sicurezza può rimuoverlo dall'account e aggiungerne uno nuovo. Un'altra soluzione consiste nel registrare un secondo token di sicurezza fin dall'inizio e conservarlo in un luogo sicuro.

Per ulteriori informazioni, visita il sito:

g.co/2step

Illustrazione: Birgit Henne