Verifica in due passaggi ancora più sicura con la nuova protezione avanzata Google

Si chiama verifica in due passaggi l’insieme di soluzioni per la sicurezza degli account utente che Google propone come “variazione sul tema” del concetto di autenticazione a due fattori.
Portandosi in questa pagina di configurazione, previo login al proprio account Google, la società di Mountain View offre diversi strumenti – alcuni più immediati, altri meno – per una migliore protezione.

Quando si accede a un account online di norma basta digitare nome utente e password: l’autenticazione a due fattori, se attivata, fa sì che oltre a tali credenziali si debba utilizzare anche “una cosa che si conosce”, “una cosa che si possiede” o “qualcosa che si è”.
Per la prima, può essere richiesto – in aggiunta – l’inserimento di un PIN, per la seconda l’inserimento di un’informazione ricevuta su uno smartphone (dispositivo diverso da quello utilizzato per il login) come un codice/autorizzazione o l’inserimento di una chiavetta (token di sicurezza) personale, per la terza può essere richiesto l’utilizzo dell’impronta digitale, il riconoscimento dell’iride o di altre caratteristiche del corpo umano (biometria).

Google ha più volte sottolineato l’importanza di usare la verifica in due passaggi per proteggere adeguatamente i propri account: Verifica in due passaggi Google: solo 10% degli utenti la usano. Limitarsi a usare solo nome utente e password per proteggere account come quelli di Google che contengono ogni genere di informazione e dato riservato (si pensi alla possibilità, con le medesime credenziali, di accedere alla posta di Gmail, ai file conservati su Drive, al servizio Foto, ai backup di WhatsApp e di altre applicazioni, a vari servizi cloud e molto altro ancora) è un errore.

L’attivazione della verifica in due passaggi non impedirà l’utilizzo dei tradizionali client di posta elettronica: basterà saper dove agire per configurarli, in particolare generare un’apposita Password per le app (vedere Impossibile accedere a Gmail: Web login required).

La modalità di verifica in due passaggi che più preferiamo è chiamata Messaggio di Google: accedendo a questa pagina si possono configurare uno o più dispositivi da utilizzare per confermare un tentativo di accesso al proprio account effettuato inserendo le credenziali corrette (vedere Autenticazione a due fattori: quali siti e servizi online la offrono).

Protezione avanzata Google: la verifica in due passaggi migliora ancora

Non tutti conoscono dell’esistenza del Programma di protezione avanzata Google: esso si basa sull’utilizzo di due chiavette (token) personali simili a quelle di cui abbiamo parlato nell’articolo Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2.

Non è nulla di estremamente complicato: la seconda chiavetta viene utilizzata solo come ancora di salvezza nel caso in cui la prima dovesse risultare inutilizzabile.
Il Programma di protezione avanzata limita anche le applicazioni di terze parti che possono accedere al contenuto dell’account Google (dare sempre un’occhiata a questa pagina e revocare le autorizzazioni inutili o superflue).

Infine, nel caso in cui si perdessero entrambe le chiavette, Google chiederà molte informazioni in più per sbloccare l’accesso all’account parte del Programma di protezione avanzata.

Come spiega Google, il Programma di protezione avanzata non è per tutti ma è stato progettato essenzialmente per quei soggetti i cui account contengono informazioni di grande valore che non dovrebbero per nessun motivo cadere nelle mani altrui.

Se voleste davvero attivare il Programma di protezione avanzata Google, ecco il necessario:

1) Due chiavette o token U2F FIDO2, meglio se uno Bluetooth e uno USB.
2) L’attivazione della verifica in due passaggi in questa pagina.
3) Almeno uno (consigliamo due o più) dispositivi personali configurati come “attendibili”.

Per prima cosa si dovrà visitare su Amazon).

Il passaggio successivo consiste nel registrare e nell’associare all’account Google i due token: il primo sarà quello principale (viene suggerito l’utilizzo di un device FIDO2 Bluetooth), l’altro potrà essere utilizzato solo a fini “di backup” (e potrà essere eventualmente anche USB).

Una volta impostati i token, Google provvederà a disconnettere tutti i dispositivi sui quali si avesse effettuato in precedenza il login con il medesimo account utente.
Per autenticarsi di nuovo si dovrà reinserire la password e avere a disposizione il primo token.
Si tratta sicuramente di una scocciatura ma per chi desidera “blindare” i propri dati è certamente una buona cosa.

Si può uscire dal Programma di protezione avanzata in qualunque momento facendo riferimento a questa pagina delle impostazioni dell’account Google.

Anche se non si gestissero dati tali da sentire la pressante necessità di attivare il Programma di protezione avanzata Google, abilitare la Verifica in due passaggi è certamente consigliato.
L’importante, come accennato in precedenza, è indicare come “attendibili” più dispositivi: in questo modo si avrà sempre la certezza di potersi collegare al proprio account Google e si eviteranno spiacevoli incidenti come quello descritto nell’articolo Rintracciare un cellulare rubato diventa impossibile se Google chiede la conferma dell’identità.

Infine, va ricordato che Google mantiene per sé il diritto di accedere ai contenuti degli utenti caricati sui suoi server cloud: a cosa vale attivare il Programma di protezione avanzata se la società di Mountain View ha comunque facoltà di esaminare i dati degli utenti?
Il consiglio è quello di crittografare i dati più importanti che si caricano sui server di Google così come sugli altri servizi di storage cloud: ne abbiamo parlato nell’articolo Proteggere i file su Google Drive, OneDrive e Dropbox con la crittografia.

Google Drive, per esempio, è uno strumento utilissimo per creare backup di dati, soprattutto se si possedesse una connessione ultrabroadband con un bel po’ di banda in upstream. Nell’articolo Google Drive backup in Windows: come procedere da riga di comando abbiamo visto come comprimere e crittografare i dati caricati sul cloud rendendo impossibile risalire al contenuto di ciascun archivio.