Di recente ha destato grande scalpore la notizia della pubblicazione di centinaia di migliaia di password associate ad altrettanti indirizzi Gmail. Fortunatamente, nella maggior parte dei casi, non si trattava di credenziali per l’accesso ad account Google. Più semplicemente, si trattava di nomi utente e password utilizzati per accedere a servizi di terze parti. La sottrazione delle password, insomma, non è avvenuta sui server di Google ma altrove (sui sistemi degli utenti oppure su servizi gestiti da altri soggetti: 5 milioni di password gmail.com pubblicate sul web).
In ogni caso, com’è possibile migliorare la sicurezza degli account Google proteggendo le informazioni conservate online (ad esempio, la posta elettronica Gmail, i file memorizzati su Drive, le foto personali, la rubrica condivisa ad esempio anche con i propri dispositivi Android e così via)?
Alcune semplici regole consentono di proteggere la sicurezza dell’account Google:
1) Non utilizzare mai le stesse password su più servizi
La prima delle regole d’oro per non rischiare sottrazioni di dati importanti, è evitare di utilizzare la stessa password su più servizi online. Nel caso in cui, ad esempio, la password dell’account Google venga condivisa su più servizi, la sottrazione delle credenziali potrebbe servire agli aggressori, ad esempio per accedere alla posta elettronica Gmail oppure ai dati conservati su Drive.
Una delle prime prove che un malintenzionato effettua, infatti, consiste nel provare ad accedere con la stessa password su più servizi in modo da verificare se l’utente sia caduto in questo errore ancor’oggi, purtroppo, molto comune.
2) Utilizzare password lunghe e complesse
A protezione dell’account Google, così come per qualsiasi altro servizio online, è indispensabile utilizzare password lunghe e complesse contenenti quindi almeno una dozzina di caratteri alfanumerici e, preferibilmente, anche simboli.
Gran parte dei servizi, infatti, integrano una protezione contro gli attacchi brute force. Ciò significa che se un qualunque utente provasse, ripetutamente, ad “indovinare” la password per l’autenticazione, questa attività viene solitamente smascherata ed interrotta in modo automatico.
Purtuttavia, può capitare che questa misura di sicurezza non sia implementata: è quanto successo con Apple iCloud nel recente incidente che ha avuto come conseguenza la sottrazione di foto “molto personali” di personalità d’Oltreoceano famose in tutto il mondo: Foto dei VIP: sottratti da iCloud i backup degli iPhone.
Per evitare di incappare in incidenti del genere è quindi bene agire sempre con la massima cautela: come spiegato nell’articolo L’importanza di scegliere password lunghe e complesse, una password sufficientemente lunga e complessa (e soprattutto, non presente in alcun “dizionario”) mette al tappeto qualunque tentativo di indovinarla utilizzando procedure automatizzate. E questo vale, quindi, anche per la sicurezza dell’account Google.
3) Sicurezza account Google con Account Checkup
Uno degli strumenti più utili per verificare la sicurezza dell’account Google si chiama Account Checkup.
Si tratta di una pagina, peraltro non molto pubblicizzata da parte di Google, che consente di verificare od impostare le modalità per il recupero della password di accesso all’account; per controllare tutte le attività di login; per disattivare l’accesso alle app meno sicure; per controllare le autorizzazioni concesse alle app di terze parti per l’accesso all’account Google.
In primis, è possibile indicare un numero di telefono mobile in modo da poter ricevere un SMS per lo sblocco dell’account Google nel caso in cui non si ricordasse la propria password o comunque non si riuscisse più ad accedere.
È possibile anche impostare un indirizzo e-mail alternativo rispetto a quello Gmail ove verranno inviate le medesime informazioni.
Dopo aver fatto clic su Fine, Google mostrerà un pannello che riassume gli ultimi accessi rilevati.
Gli accessi indicati sono quelli rilevati da browser web, su sistemi desktop e notebook, così come quelli provenienti dai dispositivi mobili come smartphone e tablet.
Se non si dovessero riconoscere determinati accessi, si leggessero aree geografiche diverse da quelle abitualmente frequentate o si rilevassero nomi di dispositivi che non si utilizzano è probabile che qualcuno stia accedendo senza autorizzazione all’account Google.
Una disamina più puntuale degli accessi registrati sull’account Google, è consultabile facendo riferimento a questa pagina.
Facendo clic su Tutto a posto si potrà saltare al passaggio successivo per mettere in sicurezza l’account Google.
In corrispondenza di Disattiva l’accesso per le app meno sicure, si troveranno le opzioni Disattiva ed Attiva. Per impostazione predefinita, dovrebbe essere selezionata l’opzione Attiva che consente a tutte le applicazioni di accedere al contenuto dell’account Google.
Come spiegato in questa pagina di supporto Google considera insicure anche applicazioni molto famose come i client di posta Microsoft Outlook e Mozilla Thunderbird, l’app Mail di Apple iOS 6 o versioni precedenti, l’app Mail sui dispositivi mobili Windows Phone 8.1 e precedenti.
C’è da dire che in questo caso la misura di sicurezza implementata da Google è un po´ un “eccesso di zelo” dal momento che chi ha attivato da Gmail il download della posta elettronica attraverso i protocolli POP3/IMAP in modo da scaricare i messaggi con Outlook, Thunderbird o qualsiasi altro client e-mail, si vedrà impedire qualunque accesso ai server di Google nel caso in cui l’opzione Disattiva risultasse selezionata.
Si tratta di un “eccesso di zelo”, poi, anche perché tutte le comunicazioni fra client e server Google avvengono in forma crittografata attraverso l’utilizzo del protocollo SSL/TLS: Configurare Gmail ed usare l’account al meglio.
Con un clic su Fine, Google visualizzerà quindi il box Controlla le tue autorizzazioni relative all’account:
Qui viene mostrato l’elenco dei siti, dei servizi, delle applicazioni e dei dispositivi che sono stati precedentemente autorizzati ad accedere al contenuto dell’account Google.
Facendo clic sulla freccia alla sinistra del pulsante Rimuovi, è possibile verificare – per ogni applicazione – a quali informazioni viene permesso l’accesso.
È quindi bene, periodicamente, controllare a quali applicazioni si sono concessi i permessi per accedere al proprio account ed eventualmente revocarli con un clic sui pulsanti Rimuovi.
Suggeriamo di effettuare regolarmente un “checkup” dell’account Google proprio con lo scopo di saggiare la sicurezza dell’account.
Ulteriori informazioni sono reperibili nella scheda Sicurezza dell’account Google.
4) Non memorizzare la password di Google ed effettuare il logout
Soprattutto nel caso in cui si accedesse al proprio account Google da computer condivisi con altri utenti (ad esempio, in ufficio), è sempre bene non memorizzare la password di Google nel browser ed effettuare sempre il logout quando si termina la sessione di lavoro.
5) Autenticazione a due fattori
Per aumentare la sicurezza dell’account Google è possibile valutare l’attivazione della cosiddetta autenticazione a due fattori.
L’autenticazione a due fattori poggia il suo funzionamento sull’utilizzo congiunto di due metodi di autenticazione individuale. La comune modalità di autenticazione basata sull’inserimento di un nome utente e di una password richiede un solo fattore (la coppia username-password) per ottenere l’accesso ad un sistema. Nelle più diffuse forme di autenticazione a due fattori, oltre ad un’informazione nota (ad esempio, una password), viene affiancato un secondo fattore.
Prima di concedere l’accesso all’utente, infatti, viene eseguito un secondo controllo su qualcosa che egli possiede (un oggetto) o su una sua caratteristica fisica (si pensi ai meccanismi di riconoscimento biometrico; ad esempio il rilevamento di un’impronta digitale).
Anche Google offre la possibilità di attivare l’utilizzo dell’autenticazione a due fattori o verifica in due passaggi.
Attivando questa funzionalità di sicurezza, per accedere all’account Google, non dovrà semplicemente digitare la password ma inserire anche un codice di autenticazione ricevuto via SMS, una chiamata telefonica o l’applicazione Google Authenticator.
La pagina per l’attivazione della verifica in due passaggi Google permette di abilitare la funzione che consente di proteggere ancor più efficacemente l’account.
Dopo aver confermato il proprio numero telefonico digitando il codice di verifica Google nell’apposito spazio, si potrà ad esempio informare Google che il computer desktop dal quale si è richiesto l’attivazione della verifica a due fattori è attendibile quindi fidato e non utilizzato ad esempio da altre persone (si consiglia di utilizzare il computer di casa).
In questo modo, ogniqualvolta si accederà all’account Gmail utilizzando tale sistema, non verrà richiesta alcuna conferma (nessuna autenticazione a due fattori).
Sui dispositivi Android, dopo aver attivato la verifica in due passaggi su Google, dovrebbe apparire un messaggio che informa sull’impossibilità di accedere all’account utente:
Cliccando su Avanti, dovrebbe essere visualizzata una schermata che permetterà di sbloccare l’accesso dallo smartphone o dal tablet Android. Basterà infatti digitare il codice di controllo ricevuto via SMS nell’apposita casella:
Spuntando la casella Non richiedere più codici…, Google non richiederà più l’inserimento di alcun codice di conferma (autenticazione a due fattori) sul dispositivo mobile in uso.
Nel caso in cui si utilizzero client di posta od applicazioni di terze parti, sia su sistemi desktop che su dispositivi mobili, che non supportano l’inserimento di nome utente, password più codice di verifica, bisognerà necessariamente portarsi in questa pagina e fare clic su Gestisci le password specifiche per le applicazioni.
Google genererà una password speciale per le varie applicazioni (pulsante Genera). Tale password dovrà essere utilizzata in sostituzione di quella principale dell’account.
Installando l’applicazione Google Authenticator, i dispositivi mobili possono essere utilizzati come token per la generazione dei codici di verifica.
Utilizzando l’app Google Authenticator (che non necessita neppure di una connessione Internet attiva e funzionante), si potrà generare una codice di conferma per l’accesso all’account.
Per utilizzare Google Authenticator, bisognerà scaricare ed installare l’applicazione sul proprio dispositivo mobile:
– Google Authenticator per Android
– Google Authenticator per Apple iOS
Dalla pagina principale relativa alla verifica in due passaggi di Google, bisognerà fare clic sul pulsante Passa all’app.
Apparirà una schermata contenente un codice QR (Creare e leggere codici QR. I codici che permettono di fornire ed ottenere informazioni in modo rapido) che dovrà essere letto con Google Authenticator selezionando il pulsante Leggi codice a barre:
Così facendo, l’app Google Authenticator, insieme con lo smartphone od il tablet in possesso dell’utente, diverranno automaticamente un dispositivo per la generazione di codici di verifica validi per l’account Google.