Sicurezza: la 2-step verification di Google

| |

Sarà il periodo poco fortunato per dei big nel campo tecnologico, sarà la sempre più forte pressione del dover tenere in sicurezza assoluta i propri dati, eppure durante questi giorni ho ricominciato a leggere e sentire della 2-step verification, una policy a disposizione di tutti gli utenti della grande G che personalmente utilizzo da circa un anno e che l’azienda sembra voler spingere sempre più per una diffusione capillare in questi giorni.

Sicurezza: la 2-step verification di Google 1Di cosa si tratta?

Il concetto è semplice: per accedere al proprio account Google (collegato a sua volta a tutti i servizi offerti dalla stessa azienda o da terze parti che si appoggiano alla loro autenticazione oauth) potrà terminare con esito positivo solo utilizzando la password scelta dall’utente ed un codice a scadenza (breve) generato da Google tramite applicazione specifica, SMS o telefonata, o utilizzando uno tra i 10 codici di sblocco one-shot (moriranno subito dopo il loro utilizzo) generati per casi di emergenza.

Dove sta l’inghippo?

Detta così sembra molto semplice (e lo è, posso assicurarvelo, basta solo entrare nell’ottica di questo servizio). L’unica “complicazione” nasce dal fatto che sarà necessario creare accessi secondari per ciascuna applicazione che utilizza un account Google.

Cerco di spiegarmi meglio: Google Talk, Chrome Sync, Picasa Uploader e tantissime altre applicazioni anche di terze parti che fanno accesso ai dati salvati sui server Google hanno bisogno di una username (tipicamente ciò che precede @gmail.com) e la password (quella che avete scelto voi). Attivando la 2-step verification smetteranno di funzionare (errore di autenticazione fallita, ndr) e sarà necessario creare nel proprio pannello di sicurezza Google delle nuove password random che dovranno essere date in pasto a ciascun programma voi necessitiate. Stesso username, password sempre diversa (o unica, se volete generarne una che darete in pasto a tutti, ma lo sconsiglio fortemente).

Sicurezza: la 2-step verification di Google 2
Google 2-step verification: una parte degli account specifici creati.

Il vero vantaggio in questo specifico caso è che potreste creare una password di accesso ad un software che utilizza l’account Google e sfruttarla in posti “non sicuri” (internet cafè?) per poi distruggerla in un secondo momento. Questo impedirà al programma di continuare a funzionare anche se vi siete dimenticati di effettuare il logout. In caso di furto, ci sarà sempre la via d’uscita facile :-)

Fa parte dello stesso “circoletto” anche Mail su iOS, bisognerà quindi generare una password specifica da inserire nelle impostazioni dell’account di posta configurato sul vostro iPhone o iPad, occhio quindi alla facile distrazione ;-)

Si, lo voglio

Titolo del paragrafo stupido a parte, abilitare la 2-step verification richiede pochi minuti, un altro po’ di tempo verrà impiegato per rimettere a posto i programmi che necessitano di un accesso con password specifica.

Dalla propria pagina di Google (accounts.google.com) selezionare la voce “Sicurezza” sulla sinistra, quindi “Verifica in due passaggi” (il pulsante Modifica, ndr) per attivarla. Partirà una configurazione guidata che richiederà un numero di telefono valido per procedere (dove ricevere i codici di sicurezza ed effettuare la prima verifica):

Sicurezza: la 2-step verification di Google 3
Google 2-step verification: numero di telefono di riferimento

Una volta ricevuto il messaggio con il codice di conferma basterà inserirlo e procedere, tenendo spuntata l’opzione per rendere “attendibile” il PC dal quale state lavorando. Ciò permetterà di non richiedere il codice di verifica per i successivi 30gg (togliete il segno di spunta se non state utilizzando il vostro computer). A questo punto sarà sufficiente un’ultima conferma per attivare la verifica in due passaggi:

Sicurezza: la 2-step verification di Google 4
Google 2-step verification: configurazione completata, pronta all’attivazione!

Il lavoro è terminato per quello che riguarda il tipo di autenticazione ai servizi principali di Google. Serve ora creare accessi secondari per le applicazioni che utilizzano lo stesso account.

Le porte di servizio

Tutto quello che è collegato al vostro account Google (servizi di terze parti che hanno usato o continuano a utilizzare oauth) viene riepilogato nella stessa pagina dove sarà possibile creare gli accessi (le password, ndr) dedicati alle applicazioni installate sul vostro PC (e non solo): google.com/accounts/b/0/IssuedAuthSubTokens. Potete raggiungere la pagina sempre dal menu di sinistra (in Google Accounts) tramite “Sicurezza” ed in seguito il tasto Modifica in corrispondenza di “Autorizzazione di applicazioni e siti“. Vi verrà richiesta nuovamente la vostra password, quindi (se corretta) vi verrà mostrata la schermata riepilogativa.

Tanto per farvi un’idea, questa è parte della mia:

Sicurezza: la 2-step verification di Google 5
Google 2-step verification: tokens attivi

Scorrendo la schermata verso il basso troverete l’area dedicata alle ” Password specifiche per le applicazioni“, che vi ho mostrato nell’immagine poco dopo l’inizio dell’articolo. Un video girato proprio da Google spiega il perché della loro esistenza (e necessità) (fare clic qui per andare direttamente alla parte interessata):

Per poterne creare una basterà inserire il nome dell’applicazione o del servizio (o qualsiasi altra cosa possa essere facilmente ricordata) nel box apposito, quindi fare clic su “Genera password” per ottenerla:

Sicurezza: la 2-step verification di Google 6
Google 2-step verification: crea la nuova password

La password appena mostrata sarà visibile fino alla pressione del pulsante Fine o la chiusura della finestra. Non sarà successivamente consultabile e la si potrà solo revocare, quindi fate attenzione e non abbiate fretta di nasconderla, inseritela nel dispositivo o nella pagina web che ne fa richiesta e poi dimenticatela con tutta tranquillità, farete sempre in tempo a crearne una nuova:

Sicurezza: la 2-step verification di Google 7
Google 2-step verification: nuovo token

Si, ho già revocato quella che vedete in figura :-D

Non mi sembra poi così difficile, voi cosa ne pensate? :-)

Sicurezza: la 2-step verification di Google 8E il codice come lo genero?

In diversi modi, ma quello più comodo (almeno nel mio caso) è far lavorare l’applicazione iOS / Android (gratuita, disponibile su AppStore: itunes.apple.com/it/app/google-authenticator/id388497605?mt=8 o su Play Store: play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) alla quale ho fatto (solo la prima volta) scansionare il codice QR per collegarla al mio account.

Mi basta quindi avviarla ogni volta che ne ho bisogno per sfruttare un codice appena generato (con scadenza a circa un minuto) per poter effettuare il login a doppia verifica su Google.

Qui c’è un documento che spiega come funziona: support.google.com/a/bin/answer.py?hl=en&answer=1037451, e come associarlo al proprio account: support.google.com/accounts/bin/answer.py?hl=en&answer=1066447.

In conclusione

L’ennesimo servizio volto alla maggiore sicurezza dell’utente, fino ad ora non mi ha mai giocato brutti scherzi e sembra essere affidabile al punto giusto.

Se anche voi volete proteggere un’identità digitale sempre più “preziosa“, basata su un account Google magari connesso a molteplici servizi e applicazioni (e -perché no- anche al telefono, soprattutto quando decidete di farlo diventare fonte principale di contatti, calendari e posta elettronica, ndr) sfruttare la verifica a doppio passaggio può avere senso.

Attivarla richiede (come descritto sopra) pochi minuti e sfruttarla nel tempo ancora meno, ci si fa presto l’abitudine, e nel caso dimenticaste il telefono a casa avete sempre a disposizione i 10 codici di emergenza che Google vi farà arrivare tramite posta, da stampare e portare con se.

Enjoy!

Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti:
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

4 Commenti
Oldest
Newest Most Voted
Inline Feedbacks
View all comments