L’autenticazione a due fattori è, come abbiamo più volte spiegato, un meccanismo che consente di abbinare alla tradizionale modalità di accesso mediante inserimento di nome utente (username) e password anche una verifica aggiuntiva dell’identità dell’utente.
Oltre all’inserimento delle proprie credenziali è quindi possibile fare in modo che il fornitore del servizio richieda una conferma aggiuntiva, ad esempio mediante l’inserimento o l’accoppiamento di un token (una chiavetta USB, Bluetooth o NFC; vedere Sicurezza account, come migliorarla con le chiavette FIDO2), l’introduzione di un codice di autorizzazione ricevuto su un proprio dispositivo (Google Authenticator: cos’è, come funziona e come spostarlo da un dispositivo all’altro) o l’esplicito consenso al login fornito attraverso uno smartphone (è il caso del meccanismo chiamato Messaggio di Google).
Il sito Two Factor Auth (2FA) offre informazioni sulle modalità di autenticazione a due o più fattori che possono essere utilizzate su ciascun servizio online.
Va detto che non tutti i meccanismi per l’autenticazione a due fattori offrono le stesse garanzie in termini di sicurezza: gli SMS, ad esempio, sono considerati come strumenti ormai inaffidabili. Ne parlavamo già più di un anno fa: Verifica in due passaggi: qual è la modalità più sicura.
Così Google ha deciso di rompere gli indugi spiegando che dal 7 luglio 2020 non utilizzerà più gli SMS per confermare l’identità dei suoi utenti. L’invito dell’azienda di Mountain View è quello di attivare quanto prima almeno Messaggio di Google come strumento per l’autenticazione a due fattori. La novità non provocherà alcun cambiamento per coloro che usano metodi di autenticazione a due fattori ritenuti “solidi” come token o strumenti come Google Authenticator. Inoltre, nulla cambierà per gli utenti che hanno scelto di non attivare la verifica in due passaggi.
Come si attiva Messaggio di Google e cosa cambia
In vista del prossimo 7 luglio, portandosi nella pagina della “Verifica in due passaggi” di Google (previo login al proprio account) quindi configurando Messaggio di Google, si potranno confermare gli smartphone autorizzati a visualizzare la richiesta di conferma per l’accesso all’account ogniqualvolta si dovesse rilevare un tentativo di login (con username e password corretti) da un dispositivo sconosciuto (in questa pagina l’elenco dei dispositivi conosciuti a Google dai quali si è effettuato l’accesso all’account utente in uso almeno una volta; eliminare periodicamente quelli che non si usano più).
Dopo aver attivato Messaggio di Google nella sezione Verifica in due passaggi, ogni volta che si introdurranno le proprie credenziali di accesso Google su un dispositivo mai utilizzato in precedenza, sul dispositivo mobile si riceverà una richiesta di conferma simile a quella riprodotta nella seguente immagine.
Toccando il pulsante Sì sullo smartphone, l’accesso all’account Google dell’utente verrà immediatamente autorizzato.
Cosa cambia attivando l’autenticazione a due fattori sugli account Google?
Oltre ad avere a disposizione un meccanismo notevolmente più sicuro per l’accesso al proprio account, la pagina Accesso app meno sicure non sarà più disponibile quindi non si potrà attivare un accesso diretto al contenuto dell’account da parte, ad esempio, dei client di posta tradizionali come Outlook, Thunderbird, Mailbird è così via, neppure usando il protocollo TLS.
Bisognerà invece generare una password “ad hoc” per tali applicazioni servendosi della pagina Password per le app o, meglio ancora, attivare l’accesso via OAuth: Leggere la posta Gmail con Thunderbird e OAuth, senza nome utente e password.
Nell’articolo parliamo di Thunderbird ma la stessa procedura è da qualche tempo applicabile anche con Outlook.
Per maggiori informazioni: Impossibile accedere a Gmail: Web login required.
Nell’articolo Rintracciare un cellulare rubato diventa impossibile se Google chiede la conferma dell’identità abbiamo visto che Messaggio di Google rimane attivo anche quando si avesse la necessità di stabilire la posizione di un dispositivo mobile perso oppure rubato.
Se il dispositivo sul quale non si ha più alcun controllo fisico fosse l’unico associato all’account Google dell’utente, potrebbe non essere più possibile accedervi.
Come accennato in precedenza, quindi, è fondamentale assicurarsi – visitando questa pagina – che i dispositivi autorizzati a ricevere il Messaggio di Google per autorizzare l’autenticazione siano almeno due.
Dal 7 luglio, inoltre, Messaggio di Google sarà inviato su tutti i dispositivi dai quali si è effettuato l’accesso al proprio account utente almeno una volta.