Si chiama Space Shelter ed è un gioco interattivo con cui Google, in collaborazione con Euroconsumers e Altroconsumo, desidera spiegare in modo molto semplice e alla portata di tutti utilità e importanza di password complesse e autenticazione a due fattori.
Protagonista del gioco sono un astronauta e la sua navicella alle prese con i nemici della sicurezza del volo spaziale.
Il gioco è ovviamente un pretesto per inquadrare per sommi capi il problema della sicurezza informatica e della protezione di dati personali, riservati e sensibili.
Senza voler “spoilerare” troppo Space Shelter inizia col sondare quanto l’utente sia consapevole del problema sicurezza chiedendo quale, secondo lui, sia la password ancora oggi più popolare tra gli utenti, con chiedere quante password sono state rubate nell’ultimo anno e comincia con il richiamare l’attenzione sull’importanza di applicare le patch di sicurezza per il sistema operativo e le applicazioni che si usano.
Viene anche sottolineata l’importanza di cambiare le password periodicamente e di abbinare l’utilizzo delle classiche credenziali (nome utente e password) all’autenticazione a due fattori (2FA).
Il gioco cerca di accendere un faro anche sul fenomeno del phishing, ampiamente utilizzato dai criminali informatici per rastrellare credenziali di accesso altrui.
A tal proposito viene evidenziato quanto l’autenticazione a due fattori, che Google chiama verifica in due passaggi e che dal 9 novembre ha automaticamente attivato su milioni di account, svolga un ruolo essenziale anche quando l’utente fosse caduto nella trappola tesa da un malintenzionato.
Space Shelter mostra concretamente alcuni esempi di autenticazione a due fattori: sebbene esistano anche altri meccanismi, Google si concentra sull’utilizzo dello smartphone o di un “token” fisico.
Dal momento che per accedere ad esempio all’account di un utente conoscendo username e password corretti l’aggressore dovrebbe possedere anche un dispositivo fisico della vittima, l’autenticazione a due fattori attivabile per tanti servizi online assicura un efficace livello di protezione.
Google fa provare virtualmente l’autenticazione a due fattori basata sulla ricezione di un codice autorizzativo via SMS, quella che prevede la conferma mediante notifica ricevuta sullo smartphone (di solito tramite un’app), la generazione di un codice OTP (one-time password) mediante applicazioni come Google Authenticator, Microsoft Authenticator, Duo Mobile e simili.
Non tutti i sistemi per l’autenticazione a due fattori sono uguali: alcuni sono più sicuri, altri lo sono di meno. Space Shelter chiede di mettere per primi quelli che sono universalmente più sicuri partendo dalla chiavetta di sicurezza (token) passando per le app di autenticazione (Authenticator), per l’utilizzo di un messaggio di conferma sullo smartphone. Chiude, in tema di sicurezza, la verifica via SMS che resta il meccanismo meno affidabile: emblematici sono i casi di attacchi conosciuti col nome di SIM swap.
Abbiamo già detto, infine, dell’importanza di usare di un generatore di password sicure: Space Shelter suggerisce di partire da un termine conosciuto per poi modificarne la struttura aggiungendo minuscole, maiuscole, numeri e simboli.
Il suggerimento migliore è però quello di creare password casuali quindi gestirle con un password manager sicuro che non sia quello del browser web. Anche perché non è possibile tenere a mente password complesse.