Gli smartphone Android diventano token autorizzativi per l'autenticazione a due fattori

La modalità per la verifica in due passaggi che da tempo preferiamo si chiama Messaggio di Google e consente di proteggere gli account Google con un meccanismo di sicurezza che supera il semplice impiego di nome utente e password: Verifica in due passaggi Google: solo 10% degli utenti la usano.

Con Messaggio di Google si possono configurare uno o più dispositivi che debbono essere utilizzati per confermare tentativi di accesso al proprio account effettuati inserendo le credenziali corrette. Ogniqualvolta Google rilevasse un tentativo di accesso da un dispositivo ancora sconosciuto, mostrerà una richiesta di conferma sul dispositivo mobile.

Precisando che non tutti i sistemi per l’autenticazione a due fattori sono da considerarsi del tutto sicuri (Autenticazione a due fattori: non sempre è sicura secondo Google), Google caldeggia l’utilizzo delle chiavette o token U2F FIDO2: Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2.

Partendo proprio da questo suggerimento, i tecnici della società fondata da Larry Page e Sergey Brin hanno annunciato la possibilità di utilizzare gli smartphone Android così come se fossero chiavette U2F FIDO2.

Il nuovo meccanismo, nel caso degli account Google, risulta già accessibile da questa pagina cliccando su Aggiungi token di sicurezza.

Da oggi è possibile selezionare qualunque dispositivo Android che fungerà da strumento per autorizzare l’accesso all’account Google. L’approccio è molto simile a quello utilizzato nel caso di Messaggio di Google: anziché però trasmettere la richiesta di accesso in forma cifrata attraverso la rete Internet (usando Messaggio di Google i dispositivi non devono neppure essere connessi alla stessa rete), l’utilizzo dello smartphone come token presuppone la vicinanza fisica dello stesso con il device dal quale si sta tentando l’accesso (bisognerà assicurarsi di attivare il modulo Bluetooth su entrambi).

Se si fosse in possesso di un Pixel 3, gli utenti dovranno premere il tasto “volume giù” per autorizzare l’accesso alle credenziali FIDO conservate nel chip Titan M.

Al momento la possibilità di usare gli smartphone come token per l’accesso agli account Google è limitata ad Android 7 Nougat e versioni successive.
Google ha comunque intenzione di portare lo stesso strumento di autenticazione anche sui device che non “montano” Android e non utilizzano Chrome come browser web.
Dall’azienda si fa presente che utilizzando standard aperti come FIDO e WebAuthn sarà solo questione di tempo perché altre aziende seguano l’esempio di Google.