Outlook e Thunderbird vengono considerate applicazioni meno sicure da Google, così come i client di posta installati su iPhone ed iPad con iOS 6 o precedenti nonché sulle release di Windows Phone antecedenti la 8.1.
Perché Google considera Thunderbird e Outlook applicazioni meno sicure? L’accesso a qualsiasi account Gmail da client di posta, com’è noto, è possibile solo ed esclusivamente utilizzando il protocollo TLS. Tutti i dati scambiati tra server e client, quindi, viaggiano in forma cifrata e non possono essere oggetto di attività di monitoraggio ed intercettazione.
Sia che si utilizzi POP3, sia che s’impieghi IMAP per accedere alle proprie caselle di posta, ricorrendo ai protocolli SSL/TLS, difficilmente si potrebbe considerare a rischio questo tipo di operazione. Nell’articolo Configurare Gmail ed usare l’account al meglio abbiamo visto scaricare la posta Gmail da un client e-mail come Thunderbird o Outlook.
Nell’articolo Trasferire e-mail da un account all’altro via IMAP abbiamo visto come, addirittura, sia possibile utilizzare Thunderbird ed il protocollo IMAP per spostare la posta elettronica da un account all’altro, anche di provider diversi.
Il protocollo TLS (insieme con il suo predecessore SSL), vengono utilizzati nel campo delle telecomunicazioni e dell’informatica per rendere sicura una conversazione crittografando i dati che fluiscono da mittente a destinatario e viceversa (crittografia end-to-end).
L’obiettivo è evidentemente quello di garantire autenticazione, integrità dei dati e cifratura.
Perché, allora, anche se si scarica la posta da un account Gmail, Google indica Thunderbird come meno sicuro, insieme con altre applicazioni famose?
Thunderbird non è intrinsecamente meno sicura
Iniziamo col dire che Thunderbird non è un client di posta elettronica meno sicuro. Anzi. L’importante è che gli account che si utilizzano permettano l’uso di una connessione cifrata e, quindi, dei protocolli SSL/TLS.
Perché, allora, Google considera Thunderbird meno sicuro?
Il motivo della valutazione di Google, certamente un po´ troppo zelante, affonda le sue radici nella decisione di spingere l’acceleratore sull’autenticazione OAuth 2.0.
Da metà 2014, infatti, Google sta spingendo affinché tutti gli sviluppatori aggiungano alle proprie applicazioni il supporto per l’autenticazione agli account Gmail con OAuth 2.0, protocollo aperto che permette l’accesso da parte di terzi ai dati degli utenti proteggendo le loro credenziali “reali”.
In altre parole, utilizzando OAuth 2.0, l’applicazione che intende accedere ai dati dell’utente non deve conoscere username e password ma deve essere semplicemente “autorizzata”.
Le applicazioni autorizzate ad accedere al contenuto dell’account dell’utente sono elencate da Google in questa pagina, accessibile previo login.
Una volta autorizzata qualunque applicazione ad accedere all’account Google, l’utente può revocare, in qualsiasi momento, tale permesso. È bene evidenziare come l’applicazione autorizzata non venga mai a conoscenza delle credenziali (username e password) dell’utente.
Da alcuni mesi a questa parte, quindi, Google ha iniziato a bollare come “meno sicure” tutte quelle applicazioni che per funzionare richiedono l’inserimento, da parte dell’utente, delle sue credenziali.
Thunderbird: password errata accedendo ad account Gmail
Provando ad accedere con Thunderbird o con altri client di posta al contenuto degli account Gmail, si potrebbe quindi ricevere il messaggio “Password errata”.
Il messaggio d’errore appare pur avendo specificato le credenziali (username e password) corrette (vedere anche qui).
Per poter utilizzare Thunderbird, quindi, è necessario assicurarsi che nelle impostazioni dell’account Google sia abilitato l’accesso per app meno sicure.
Per gli account ove si fosse attivata la verifica in due passaggi di Google, per autorizzare un client di posta ad accedere al contenuto dell’account Gmail basta portarsi a questo indirizzo quindi generare una Password per le app come spiegato nell’articolo Verifica in due passaggi Google: solo 10% degli utenti la usano al paragrafo Dopo aver attivato la verifica in due passaggi i client di posta non funzionano più.
Nell’articolo Sicurezza account Google: come proteggersi dagli attacchi abbiamo visto come mettere in sicurezza l’account utente Google e come difendere le informazioni in esso conservate.