Verifica in due passaggi Google: solo 10% degli utenti la usano

Stando a quanto dichiarato di recente da uno degli ingegneri di Google (Grzegorz Milka), sarebbero davvero pochi coloro che fanno uso della verifica in due passaggi.

Eppure, si tratta di una funzionalità utilissima per coloro che, all’interno dell’account Google, custodiscono dati personali e informazioni importanti. Si pensi ai documenti conservati in Google Drive, ai messaggi di posta elettronica Gmail, alle immagini caricate su Google Foto e così via.

Nella stragrande maggioranza dei casi gli utenti proteggono l’account Google con i soli username e password senza però realizzare che difendere i propri dati personali con delle semplici credenziali non è ormai più sufficiente.

Cosa accadrebbe se un malintenzionato riuscisse a scovare la password dell’utente? Di quali e quanti dati potrebbe entrare in possesso? Nell’articolo Logout Gmail, Google e Facebook da remoto abbiamo visto come disattivare immediatamente l’accesso da un sistema sul quale ci si fosse incoscientemente loggati.

Verifica in due passaggi Google: perché è utile

Come abbiamo ricordato in diversi nostri articoli la verifica in due passaggi è utilissima perché se un malintenzionato dovesse superare il livello della password (riuscendo quindi a inserire la password corretta collegata all’account utente Google), questi dovrà comunque disporre anche del telefono dell’utente o di un token di sicurezza per accedere al contenuto dell’account.

La verifica in due passaggi è, in altre parole, un metodo di autenticazione che si basa sull’utilizzo congiunto di due metodi di autenticazione individuale. Accanto a un elemento che si conosce (come possono essere username e password) è perciò necessario usare un elemento che si possiede (come uno smartphone o un token).

L’attivazione della verifica in due passaggi nel caso di Google si concretizza accedendo a questa pagina previo login.

Google offre diverse metodologie di autenticazione da affiancare al semplice uso di username e password: Messaggio di Google, messaggio di testo o vocale, app Authenticator, token di sicurezza e codici di backup.
Il sistema più semplice è Messaggio di Google: ogniqualvolta qualcuno dovesse tentare di accedere con username e password corretti all’account Google da un terminale non conosciuto, apparirà una notifica sullo smartphone. L’utente potrà autorizzare o negare la connessione al suo account. Ne abbiamo parlato nell’articolo Proteggere gli account web e migliorarne la sicurezza.

Dopo aver attivato la verifica in due passaggi è fondamentale verificare di disporre di almeno un paio di dispositivi conosciuti dal sistema e autorizzati ad accedere con nome utente e password: vedere anche l’articolo Rintracciare un cellulare rubato diventa impossibile se Google chiede la conferma dell’identità.

Dopo aver attivato la verifica in due passaggi i client di posta non funzionano più: come risolvere

Uno dei “falsi miti” legati all’attivazione della verifica in due passaggi di Google risiede nell’impossibilità di accedere all’account Gmail da un normale client di posta elettronica (Outlook, Thunderbird,…).

Come spiegato nell’articolo Perché Google considera Thunderbird un’applicazione meno sicura?, i client email vengono considerati da Google come programmi non sicuri e quindi, di default, non autorizzati ad accedere con nome utente e password.

Questo perché, seppur la connessione con i server di Google sia protetta mediante l’utilizzo del protocollo crittografico TLS, i client di posta userebbero comunque nome utente e password dell’account utente per attingere al suo contenuto.

Per autorizzare un client di posta ad accedere al contenuto dell’account Gmail basta portarsi a questo indirizzo quindi generare una Password per le app.
Nel caso dei client email, basterà selezionare Posta e, appena sulla destra, la tipologia del dispositivo dal quale ci si collegherà.

Con un clic su Genera, si otterrà la password da inserire nel software client al posto della password associata al proprio account.