Google insieme con i ricercatori dell’Università di New York hanno pubblicato un interessante studio che dimostra quanto sia importante collegare ciascun account utente con un dispositivo mobile egualmente in proprio possesso.
Prendendo in esame una base di utenti composta da 1,2 milioni di soggetti, la ricerca ha analizzato circa 350.000 tentativi di aggressione reali, posti in essere da criminali informatici e malintenzionati interessati ad accedere ai contenuti degli account utente Google.
Ciò che è emerso è che, ovviamente, l’autenticazione a due fattori (o come la chiama Google “Verifica in due passaggi“) rappresenta lo strumento più efficace per difendersi da un ampio spettro di attacchi: contro quelli automatizzati (sferrati ad esempio mediante l’uso di bot), i tentativi di phishing lanciati su vasta scala e le aggressioni mirate.
Al primo posto in termini di efficacia lo studio consultabile a questo indirizzo pone l’utilizzo delle chiavette FIDO2: Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2.
Da poco tempo anche i dispositivi Android possono essere utilizzati come strumenti di autenticazione aggiuntiva simil-chiavette FIDO2: Autenticazione su Android con le chiavette FIDO2.
La verifica con lo strumento di autenticazione a due fattori chiamato Messaggio di Google rimane comunque sempre una “prima scelta”.
È attivabile accedendo a questa pagina e configurando uno o più dispositivi mobili.
In questo modo ogniqualvolta Google dovesse rilevare un tentativo di accesso da un dispositivo conosciuto, chiederà di confermare manualmente l’attività usando lo smartphone associato all’account. Il nostro consiglio è comunque quello di configurare un paio di “dispositivi fidati” in maniera tale che siano conosciuti a Google: Rintracciare un cellulare rubato diventa impossibile se Google chiede la conferma dell’identità.
Quanto sostenuto da Google e dagli accademici di New York è riassunto nella tabella che ripubblichiamo in figura. Strumenti che offrono un grado di affidabilità nettamente inferiore sono la verifica via SMS e quella attraverso l’utilizzo di un secondo indirizzo email.
Da parte nostra ricordiamo che l’attivazione della verifica in due passaggi per gli account Google comporta comunque alcune importanti variazioni nella gestione delle procedure di login, soprattutto se si utilizzassero client email tradizionali come Outlook e Thunderbird.
A questo proposito, suggeriamo la lettura degli articoli Verifica in due passaggi Google: solo 10% degli utenti la usano al paragrafo Dopo aver attivato la verifica in due passaggi i client di posta non funzionano più: come risolvere e Impossibile accedere a Gmail: Web login required.
Per quegli utenti che volessero fidare su strumenti ancora più sicuri, Google offre la cosiddetta Protezione avanzata: Verifica in due passaggi ancora più sicura con la nuova protezione avanzata Google.
Maggiori informazioni sono disponibili in questa nota di Google.