L’autenticazione a due fattori, che Google chiama “Verifica in due passaggi“, è un meccanismo che permette di affiancare all’utilizzo dei classici username e password per l’accesso a un qualunque account anche un secondo strumento di verifica.
Google Authenticator è un’applicazione che semplifica l’autenticazione a due fattori (2FA): fornisce un livello di sicurezza aggiuntivo per gli account online, come ad esempio account di posta elettronica, social media, servizi di pagamento e altre piattaforme online.
L’app di Google genera un codice OTP ovvero un codice numerico temporaneo a sei cifre che scade e cambia ogni 60 secondi.
Questi codici vengono utilizzati come secondo fattore di autenticazione oltre alla password tradizionale per verificare l’identità dell’utente al momento del login.
Google Authenticator e l’autenticazione a due fattori
Per andare a buon fine, infatti, in generale l’autenticazione a due fattori deve superare due controlli: bisogna dapprima specificare nome utente e password corretti quindi procedere con la verifica addizionale basata su una caratteristica fisica (utilizzo di sensori biometrici) o su qualcosa che si possiede (di solito l’utente è invitato ad inserire un codice autorizzato ricevuto su smartphone o cellulare).
Come abbiamo visto nell’articolo dedicato all’autenticazione a due fattori, il “secondo fattore” è quindi “qualcosa che si conosce” (ad esempio un PIN), “qualcosa che si possiede” (uno smartphone o un oggetto fisico come un token, ad esempio una chiavetta FIDO2 oppure “qualcosa che si è” (utilizzo del riconoscimento facciale, dell’impronta digitale, dell’iride,…).
Usando l’autenticazione a due fattori, anche nel caso in cui un aggressore venisse in possesso delle altrui credenziali corrette, questi non potrà accedere all’account della vittima non disponendo del secondo fattore (ad esempio lo smartphone dell’utente o le sue informazioni biometriche).
Il sito 2FA Directory indica chiaramente quali servizi e account è possibile proteggere con l’autenticazione a due fattori.
Il segno di spunta in corrispondenza della colonna “Software token” sta a significare che si può abilitare l’autenticazione a due fattori usando un’app come Google Authenticator, Microsoft Authenticator oppure Cisco Duo e similari.
Google Authenticator: cos’è e come funziona
Nata nel 2010, l’app Google Authenticator può essere considerata come la madre di tutte le soluzioni software per l’autenticazione a due fattori.
Utilizza due algoritmi standard ben documentati (Time-based One-time Password, TOTP e HMAC-based One-time Password, HOTP) per generare codici di verifica che andranno inseriti – dopo il login con nome utente e password – per completare la procedura di autenticazione.
I codici generati da Google Authenticator valgono esattamente per 60 secondi: trascorso questo periodo, l’applicazione o il servizio al quale si sta accedendo non li accetteranno più e bisognerà inserire il nuovo codice prodotto dalla stessa app Google Authenticator.
Per usare Google Authenticator come secondo fattore, basta abilitare l’autenticazione a due fattori sul servizio o sull’applicazione Web d’interesse quindi avviare l’app sul dispositivo mobile (è scaricabile da qui in versione per Android e da qui per iOS).
Generalmente il servizio sul quale si sta attivando l’autenticazione a due fattori restituisce un codice QR che contiene il codice di configurazione da passare a Google Authenticator.
Toccando il pulsante “+” in basso a destra, si può scegliere Scansiona un codice QR per acquisire tale codice con la fotocamera dello smartphone e configurare istantaneamente l’autenticazione a due fattori.
In alternativa, si può toccare Inserisci codice, assegnare un numero arbitrario all’account cui si riferisce il meccanismo di autenticazione a due fattori (campo Nome account) quindi digitare il codice ricevuto nel campo sottostante.
Il codice che appare nella schermata principale di Google Authenticator deve essere digitato come secondo fattore per effettuare il login sul servizio d’interesse.
I token di sicurezza sono ovviamente variabili, hanno come detto una scadenza (quindi bisogna essere veloci a digitarli) e sono diversi per ciascun servizio: tramite Google Authenticator si possono quindi generare codici di verifica per vari account e servizi, anche “non-Google”.
Tenendo premuto su un account il codice di verifica viene copiato negli appunti e si vedranno apparire le icone per rinominare ed eliminare l’account stesso.
Trasferire le impostazioni di Google Authenticator su altri dispositivi e usare più smartphone
Google Authenticator permette di trasferire gli account configurati, in modo molto semplice, su altri dispositivi.
Si tratta di una funzionalità utile per chi si trova a cambiare smartphone spesso e vuole evitare di dover riconfigurare l’autenticazione a due fattori.
Toccando i tre puntini in alto a destra nella schermata principale di Google Authenticator quindi scegliendo Trasferisci account, è possibile esportare tutti gli account visualizzati sullo schermo.
Toccando su Esporta account è invece possibile generare un codice QR che serve per trasferire istantaneamente gli account configurati verso un altro telefono.
Sull’altro smartphone, basta installare Google Authenticator quindi scegliere Importa account e inquadrare il codice QR mostrato sullo schermo del telefono dal quale si sta esportando la configurazione.
Google Authenticator può essere installato e configurato su più dispositivi che visualizzeranno gli stessi codici per l’autenticazione a due fattori.
Purtroppo c’è una cosa che ancora manca, stranamente, a Google Authenticator: la possibilità di attivare l’accesso all’applicazione previo inserimento della password di protezione del telefono, della sequenza, del PIN o previo riconoscimento dell’impronta digitale sugli smartphone dotati del sensore. E non sarebbe un grosso problema perché in fase di esportazione degli account, ad esempio, Google Authenticator già richiede di inserire tale informazione. Correttamente, invece, l’applicazione di Google non consente di effettuare screenshot mentre la si sta utilizzando.
Backup degli account Google Authenticator sul cloud
Con un aggiornamento dell’app Google Authenticator che l’azienda di Mountain View ha iniziato a distribuire ad aprile 2023, le versioni per Android e iOS diventano in grado di effettuare il backup degli account sul cloud.
Nel suo annuncio Google spiega: “poiché i codici monouso (OTP) generati da Authenticator venivano archiviati solo su un singolo dispositivo, la perdita di quel dispositivo significava che gli utenti non erano più in grado di accedere a qualsiasi servizio su cui avevano configurato l’autenticazione a due fattori“.
Con l’aggiornamento di Google Authenticator, agli utenti viene chiesto di accedere al proprio account Google quando aprono la nuova versione dell’app e sincronizzare i codice 2FA sul cloud.
L’azienda fondata da Larry Page e Sergey Brin ha stabilito che la verifica in due passaggi deve a sua volta risultare attivata sull’account utente Google affinché i backup sul cloud funzionino: si tratta di una misura essenziale per evitare accessi non autorizzati e guardare più serenamente anche ad incidenti che comportano la ricezione di un Avviso di sicurezza critico Google.
Va detto che non tutti gli utenti potrebbero ricevere subito la nuova funzione per il backup dei dati di Google Authenticator sul cloud: il meccanismo è infatti in fase di attivazione sia su Android che su iOS.
Cosa fare se Google Authenticator non funziona
Nel caso in cui l’app non funzionasse correttamente è opportuno provare ad aggiornare la sincronizzazione dell’orario.
Per la generazione dei codici viene infatti utilizzato il dato temporale: se esso non è perfettamente corretto, il codice generato potrebbe non essere accettato.
Il problema è facilmente risolvibile cliccando sui tre puntini in alto a destra, selezionando Impostazioni, Correzione dell’ora per i codici e infine Sincronizza ora.