Google vuole attivare l'autenticazione a due fattori in modo predefinito

Google auspica un “mondo senza password”. In realtà sarà difficile sbarazzarsi completamente delle tradizionali credenziali d’accesso per effettuare il login sui vari servizi.
È possibile semmai affiancare username e password con strumenti di autenticazione “più smart” e allo stesso tempo più sicuri che permettano di fidare su un livello di protezione aggiuntivo.

L’autenticazione a due fattori permette di abbinare all’utilizzo della classica coppia nome utente-password anche un’ulteriore informazione utile a effettuare il login: di solito si usa “una cosa che si possiede” (ad esempio lo smartphone o un token fisico) oppure una caratteristica biometrica come il riconoscimento della voce, del volto, dell’iride, dell’impronta digitale.

Gli SMS vengono tendenzialmente scartati come “secondo fattore” (anche se alcuni servizi continuano a farne uso) perché potenzialmente bersaglio di attacco (SIM swap: cos’è e come funziona l’attacco).

Di solito, quindi, l’utilizzo di username e password viene abbinato con l’utilizzo di un’app di sblocco come Messaggi di Google attivabile sul proprio smartphone (mostra una richiesta di conferma sul dispositivo mobile collegato all’account ogni volta che si tenta il login con le credenziali corrette da un dispositivo sconosciuto) oppure con un’applicazione che genera OTP (one-time-password) ovvero codici a breve scadenza, anch’essa installata sullo smartphone dell’utente, che devono essere inseriti per autorizzare l’accesso.
Esempi di queste applicazioni sono Microsoft Authenticator e Google Authenticator.

In alternativa si possono usare token fisici FIDO2 (Sicurezza account, come migliorarla con le chiavette FIDO2) collegabili via USB o in modalità wireless via NFC o anche via Bluetooth (cosa sconsigliata da un produttore come Yubico): Vulnerabilità nelle chiavette Google Titan Bluetooth: arriva il richiamo.

Come spiegato nella nota appena pubblicata, da parte sua Google presto inizierà ad attivare automaticamente l’autenticazione a due fattori (l’azienda di Mountain View la chiama “verifica in due passaggi” o 2SV, 2-step-verification) per tutti quegli utenti i cui accunt sono configurati in modo appropriato.

“Oggi chiediamo alle persone che hanno attivato la verifica in due passaggi (2SV) di confermare che sono davvero loro a effettuare il login con un semplice tocco su una schermata mostrata sul telefono“, scrive Google. “Usare il proprio dispositivo mobile per accedere ai servizi online offre un’esperienza di autenticazione più sicura rispetto all’uso della sola password“.

Per attivare la verifica in due passaggi di Google (ne parliamo anche nell’articolo Autenticazione a due fattori attiva dal 7 luglio su tutti gli account Google), si può fare riferimento a questa pagina.
Cliccando qui si possono invece ottenere informazioni utili sullo stato del proprio account Google per quanto riguarda le impostazioni di sicurezza.

L’account Google, protetto con la verifica in due passaggi, diventa un ottimo strumento per accedere ad altri servizi online senza dover effettuare alcuna registrazione (protocollo OAuth2): posto che la password non viene mai condivisa, è però sempre importante verificare quali informazioni vengono richieste dal servizio sul quale ci si sta autenticando. Tramite questa pagina si potranno verificare ed eventualmente revocare i permessi concessi.

È un po’ l’idea alla base di SPID: previa effettuazione del login presso il fornitore che certifica l’identità dell’utente si potranno generare token per l’autenticazione su tutti i servizi (per adesso praticamente solo quelli della Pubblica Amministrazione) che supportano il meccanismo (vedere Come utilizzare SPID per l’autenticazione sui siti).