Archives For GMail

Importante novità da parte di Google, si torna a parlare di autenticazione a due fattori e lo si fa in una maniera nettamente più semplice rispetto all’inserimento del codice temporaneo generato dal loro Authenticator o da applicazioni di terze parti come Authy. Per te che forse non lo hai letto, consiglio uno sguardo al mio vecchio articolo dove ti parlo dell’autenticazione a due fattori di big G., scritto ormai 4 anni fa (si, il tempo passa molto velocemente).

Oggi Google permette di richiedere direttamente sul cellulare l’autorizzazione a lasciar accedere una sessione sconosciuta, magari da una nuova postazione, cosa che fino a oggi (in realtà fino a qualche giorno fa, dato che questo articolo verrà pubblicato in maniera schedulata) era possibile fare solo tramite un nuovo codice di autenticazione generato sul momento.

Sicurezza: la nuova 2-step verification di Google 7

Di cosa hai bisogno

Assolutamente nulla, se sei possessore di smartphone Android. Se invece possiedi un dispositivo Apple, assicurati di aver scaricato e installato l’applicazione ufficiale di ricerca di Google:

Google
Developer: Google, Inc.
Price: Free

A questo punto sei pronto per la configurazione della nuova modalità di accesso sicuro. Accedi a myaccount.google.com/security/signinoptions/two-step-verification e autenticati (ti verrà richiesto, anche se sei già collegato a Google), nelle opzioni di sicurezza potrai configurare un diverso metodo di accesso, qui troverai Messaggio di Google:

Sicurezza: la nuova 2-step verification di Google 5

A questo punto comincerà un piccolo wizard che ti guiderà alla scelta del telefono che potrà autorizzare l’accesso da nuova postazione, ammesso che questo abbia un blocco schermo abilitato e protetto da una qualsivoglia autenticazione (sequenza, PIN, impronta digitale, ecc.):

Una prova “in diretta” del nuovo metodo farà comparire a video (del dispositivo scelto) la richiesta di conferma della tua identità, così da lasciar proseguire la nuova postazione nell’atto di login:

Il gioco è fatto e il nuovo metodo è già utilizzabile. Potrai accedere da una nuova postazione al tuo account Google sia tramite codice di autenticazione (Authy, Google Authenticator), sia tramite messaggio sul display del tuo dispositivo principale.

Sicurezza: la nuova 2-step verification di Google 4

Grazie Google. Non c’è davvero nessun motivo per continuare ad utilizzare un’autenticazione basata sulla sola password come ultima barriera contro i potenziali malintenzionati.

In realtà è una cosa vecchia ormai di mesi, ma ancora sfugge ai più: Google ha limitato l’accesso al proprio server SMTP sia tramite GMail, sia tramite applicazioni di terze parti. Questo vuol dire che non si potrà più sfruttare (con facilità) il server della posta in uscita di big G. se si intende utilizzare una casella con dominio che non sia @gmail.com (a pagamento o gratuito, ha poca importanza).

Gmail-Banner

Aggirare l’ostacolo è in apparenza semplice. Secondo il documento ufficiale “Come consentire alle app meno sicure di accedere al tuo account” disponibile su support.google.com/accounts/answer/6010255?hl=it, basterà modificare un’opzione del proprio account per permettere l’accesso a chi non si appoggia all’autenticazione made in Google.

SMTP di GMail: l'utilizzo tramite app

Talvolta però questo non basta, e continuerete a ricevere errori simili a “Please log in via your web browser and then try again” quando proverete a fare uso di impostazioni e credenziali del server SMTP di Google partendo da prodotti di terze parti (o interfaccia di GMail stessa). L’errore è generalmente seguito da un URL abbastanza corposo, contenente anche il proprio indirizzo di posta elettronica e la password in codifica base64 (accounts.google.com/ContinueSignIn?sarp=eccetera).

A quel punto vi arriverà una mail contenente un avviso importante, “qualcuno conosce la vostra password di GMail” e il tentativo di login è stato quindi bloccato. Vi verrà fornito ogni dato possibile: ora e data del tentativo di login, posizione sulla mappa della possibile connessione che ha generato la richiesta di login, tipo di device utilizzato e altro ancora. Non c’è modo di autorizzare e sbloccare l’operazione dall’interfaccia che vi verrà proposta, dovrete aprire una nuova tab (o una nuova finestra) e andare all’indirizzo accounts.google.com/DisplayUnlockCaptcha. Vi si aprirà così un box dove potrete consentire temporaneamente l’accesso al vostro account di posta:

SMTP di GMail: l'utilizzo tramite app 1

Facendo clic su “Continua” avrete una finestra temporale (non specificata da Google, nda) durante la quale potrete fare accesso all’account senza incorrere nell’errore che vi siete cuccati fino a due secondi prima.

Qualche giorno fa Kaspersky ha pubblicato un interessante articolo riguardo la difesa del proprio indirizzo di posta elettronica dallo spam. Tutto molto bello soprattutto per chi è alle prime armi, alcuni dei consigli sono tanto basilari quanto efficaci, ma tra questi uno è pressoché impossibile (o quasi) da rispettare: l’utilizzare un indirizzo di posta “sconosciuto ai più” che vi permetta di conversare con amici e parenti senza mai comparire nei moduli di registrazione online o simili.

Difendersi dallo spam anche grazie a GMail (da un'analisi Kaspersky)

Quando si ha a che fare con quei provider di posta che invadono la casella (la stessa che vi mettono a disposizione “gratuitamente“) con offerte commerciali a prescindere che siate d’accordo o no (email.it è uno dei migliori in questo campo, tanto per citarne uno) combattere è un po’ come andare contro i mulini a vento, senza considerare che anche nel caso in cui non utilizzaste uno di questi servizi che sono soliti rivendere dati, uno qualunque tra i vostri contatti potrebbe incorrere in qualche errore, un’infezione, uno qualsiasi tra le migliaia di malware contraibili in un determinato periodo (ne vengono pubblicati di nuovi a grande velocità, molti più di quelli che ormai “non girano più sulla rete”) che finirà per consegnare dati sensibili a botnet o simili, che utilizzeranno poi gli stessi dati per un ulteriore attacco spam. Un circolo vizioso difficile da spezzare o terminare a meno di interventi decisivi da parte delle forze dell’ordine o dei grandi nomi della sicurezza aziendale oltreché casalinga.

Difendersi dallo spam anche grazie a GMail (da un'analisi Kaspersky) 1

Un consiglio però ve lo posso dare: pur non riuscendo a debellare completamente la minaccia potreste sempre pensare di utilizzare gli indirizzi “farlocchi” che GMail vi mette a disposizione di default per permettervi di filtrare molto agilmente qualsiasi comunicazioni che non vi interessi.

Lo sapevate già che aggiungendo al vostro indirizzo un “+Testo” (dove al posto di Testo potreste mettere qualsiasi cosa, ndr) subito dopo la parte antecedente la chiocciola (ad esempio: mario+pubblicita@gmail.com) riceverete comunque la mail nella vostra casella di posta ma con la possibilità di creare un un filtro di tipo “Per ogni mail in ingresso a mario+pubblicita@gmail.com allora eliminala senza neanche mostrarla“?

Fate una prova. Da una qualsiasi altra casella di posta provate ad inviare (o farvi inviare dal collega o un amico) una mail alla vostra casella di posta aggiungendo un “+Testo” prima della chiocciola e magari iniziare così a giocare con i filtri da sempre messi a disposizione dal big di Mountain View (che già di suo fa un gran lavoro con la pulizia dello spam nella Inbox, salvo qualche piccolo errore di tanto in tanto).

Buona sperimentazione ;-)

2StepSecurityOrmai diversi mesi fa, complice il cambio dello smartphone e di sistema operativo (sono passato da iOS ad Android, ndr), ho cercato un’alternativa al sempre adorato e perfetto Google Authenticator perché allo stato attuale non è possibile effettuare un passaggio dei suoi dati da un telefono all’altro, non esiste un backup in cloud (previa autenticazione del mio account Google) né tanto meno un file di configurazione che possa essere copiato tra dispositivi, necessità dettata certamente dai criteri di sicurezza che devono poter impedire l’eventuale clonazione delle mie chiavi di autenticazione venendo così meno al concetto di sicurezza a due fattori.

A questo ho aggiunto la personale necessità di adottare una soluzione che potesse essere acceduta sia dal mio telefono personale che da quello aziendale. Mi sono trovato (un solo caso in tutti questi anni, fortunatamente) in una situazione spiacevole che mai mi era capitata prima: lasciare il cellulare personale a casa, distrattamente dimenticato sotto il cuscino del divano e ovviamente lasciato lì una volta che me ne sono accorto in macchina. Per tutto il corso della giornata non ho potuto utilizzare uno dei miei servizi perché non avevo modo di generare un codice di autenticazione e no, questo servizio non permetteva di generare codici di backup, in pratica sono rimasto chiuso fuori.

L’alternativa esiste da diverso tempo, si chiama Authy e anche se non è open source come Google Authenticator (nonostante pubblichi molto codice su Github) garantisce massima protezione dei vostri dati permettendo inoltre di generare i codici su più dispositivi contemporaneamente (previa autenticazione con password master dell’account).

Authy 2-Factor Authentication
Developer: Authy
Price: Free
Authy
Developer: Authy Inc.
Price: Free

Registrare un account è gratuito e l’applicazione per generare i codici è compatibile con pressoché qualsiasi piattaforma: authy.com/users. Inoltre se siete utilizzatori di Google Chrome potete utilizzare l’estensione che vi permette di non staccare le mani dalla tastiera del PC e generare i codici di autenticazione “in diretta” (chrome.google.com/webstore/detail/authy/gaedmjdfmmahhbjefcbgaolhhanlaolb?hl=en) permettendo così di rendere Authy compatibile anche con Windows, OS X o Linux (a quando la stessa estensione per Firefox o magari stand-alone?).

In breve: funzionamento

Installate l’applicazione e avviatela, potrete creare il vostro account immediatamente. Al momento vi basterà inserire il vostro numero di cellulare e il vostro indirizzo di posta elettronica, quindi richiedere la verifica tramite SMS o chiamata (è gratuito in entrambi i casi) e inserirlo nel box a video per confermare la vostra identità (qui di seguito inserisco le schermate iOS, non differiscono da quelle Android):

A questo punto sarà già possibile aggiungere nuovi account che richiedono di generare un secondo codice di autenticazione (come GMail o WordPress.com, tanto per citarne due che utilizzo regolarmente). Date un’occhiata alle impostazioni dell’applicazione, scoprirete che potrete tenere sotto backup tutti i vostri dati, aggiungere un PIN di protezione per evitare che chiunque possa aprire Authy e leggere i codici di autenticazione 2-Step e altro ancora (come spiegato anche sul sito web ufficiale). Authy è un’applicazione molto semplice da utilizzare, veloce, precisa, unica con quella sua possibilità di poter portare il proprio account su qualsiasi dispositivo, una comodità pazzesca.

Migrazione dei codici di autenticazione

Questo paragrafo si basa sulla mia personale esperienza e ovviamente non tutti i miei software / servizi utilizzano l’autenticazione 2-Step con Google Authenticator / Authy, alcuni “fanno tutto in casa“: Facebook genera codici tramite la sua applicazione ufficiale così come Twitter genera le richieste di autorizzazione login all’interno della sua di applicazione (o via SMS in alternativa). Ecco quindi il da farsi con il resto della compagnia. Si parla di WordPress (.com e Self Hosted), di Dropbox, di TeamViewer ed infine di Hootsuite, in futuro aggiungerò sicuramente altri servizi di cui vi parlerò anche qui sul blog, potete seguire tutto ciò che scrivo a proposito di autenticazione a due fattori filtrando il tag “2-step-verification“.

Google è quello più “guidato” da migrare. Permette infatti, tramite il suo stesso sito, di spostare l’autenticazione da un cellulare all’altro, da un sistema (iOS) all’altro (Android). Basterà andare sulla pagina dedicata all’indirizzo accounts.google.com/b/0/SmsAuthSettings#devices e scegliere di modificare il telefono seguendo le istruzioni a video (e cominciando facendo clic su “Sposta su un altro telefono“), come nel passo-passo delle immagini qui di seguito:

A questo punto dovrete invece fare “la fatica” poiché sono diversi i siti web sui quali bisognerà rifare il lavoro. Si comincia da WordPress.com dove l’autenticazione a due fattori va prima disattivata e poi riattivata facendo uso di Authy (dato che cambiano le chiavi di backup, che andranno quindi nuovamente copiate e tenute in un luogo sicuro, mi raccomando), così come TeamViewer, da gestire anche lui tramite sito web (con nuova chiave di recupero annessa).

Senza far troppa fatica invece potrete semplicemente scansionare con Authy il token già generato sia su Dropbox (dove sarà necessario modificare il metodo di autenticazione, selezionare ancora una volta applicazione e seguire le istruzioni a video) che su Hootsuite. Persino i plugin di protezione del login form per WordPress basati su autenticazione Google (come Google Authenticator).

In questi mesi di utilizzo ho potuto realmente apprezzare Authy e la serie di servizi annessi. La comodità di poter generare codici con qualunque dei miei dispositivi è fuori di dubbio il migliore tra i punti a favore della soluzione. Su iPhone 5 (o superiore) l’applicazione potrà essere anche protetta tramite TouchID (altrimenti per Android e iPhone inferiori si potrà utilizzare il più classico e sempre funzionale codice di blocco).

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

Android-GMailChi più, chi meno, tutti abbiamo contatti con una molteplicità importante di persone, contatti che ovviamente finiscono nel nostro smartphone componendo liste che raggiungono numeri a tre cifre con una discreta facilità. Diversi sono contatti personali e abituali che sentiamo spesso, anche più volte al giorno, altri molto di meno ma comunque importanti, da tenere da parte in caso di necessità. Se pensate però che quei contatti inizino a diventare troppi mentre ne cercate uno in particolare (nel mio specifico caso questo accade spesso in macchina, con i comandi al volante, ndr) è possibile che sia arrivato il momento di riorganizzarli e nasconderli “a prima vista“.

È tutta una questione di “Contacts

Utilizzate GMail e quindi Google Contacts. Forse saprete (o forse no) che Google Contacts permette la creazione di gruppi all’interno dei quali potrete inserire i vostri contatti. Attenzione: non si tratta di un vero e proprio contenitore ma più di un tag” da associare allo specifico contatto (o a più contatti contemporaneamente, ovvio), quel tag potrà essere rapidamente filtrato o nascosto sia da telefono che da PC. Create un nuovo gruppo, dategli un nome che possa “parlare al posto vostro” (serve affinché un domani voi possiate ricordarvi il perché avete creato quel gruppo!) e selezionate un qualsiasi contatto non vi interessi tenere tra quelli immediatamente ricercabili. A questo punto basterà fare clic sul pulsante “Gruppi” nella parte alta della pagina e selezionate il gruppo appena creato (nell’immagine il nuovo gruppo è Archivio):

GoogleContacts-Gruppo

Ripetete l’operazione per tutti i contatti che non ritenete opportuno avere così a portata di mano fino a quando il vostro nuovo gruppo non sarà completamente popolato. Al termine selezionatelo, quindi con un paio di clic in più dovrete selezionare tutti i contatti contenuti sotto questo stesso tetto:

Schermata 2015-01-18 alle 16.14.28

Ora potrete nuovamente selezionare l’icona gruppi e fare clic su “Contatti personali” affinché questi vengano esclusi in un solo colpo dal gruppo principale utilizzato da Google Contacts e quindi anche dal vostro smartphone Android. Il risultato? Questi contatti saranno sempre e comunque ricercabili quando inviate una nuova mail e con una semplice nuova mossa sul telefono potremo però escluderlo dalla rubrica principale che si accede tramite l’applicazione telefono (la stessa che viene interrogata dall’automobile per scaricare e sincronizzare i contatti).

Mano al telefono

Aprite l’applicazione Telefono e spostatevi nella vista Contatti, quindi selezionate le Opzioni Aggiuntive (quell’icona formata da 3 pallini in verticale, ndr) ed in seguito Filtro:

Screenshot_2015-01-19-16-24-07

Cercate l’account Google, espandetelo ed ecco il trucco servito su un piatto d’argento. Basterà infatti togliere il segno di spunta ai gruppi che volete escludere dalla vista contatti principale e -quando terminato- tornare indietro per godervi il risultato :-)

Screenshot_2015-01-19-16-24-56

Facile, veloce, utile per tenere sempre in ordine la vostra rubrica contatti.