Tag Archive - Sicurezza

Sicurezza: la 2-step verification di Dropbox

Era assolutamente prevedibile e già annunciato, anche Dropbox dopo i recenti problemi di sicurezza ha finalmente introdotto in via sperimentale (non obbligatoria ma già disponibile per chi lo desidera) la 2-step verification:

Di cosa si tratta?

Il concetto è lo stesso identico di Google (vedi mio precedente articolo): per accedere al proprio account via web o installando il client su una nuova macchina occorrerà utilizzare la propria coppia di credenziali ed un codice di sicurezza a scadenza (breve) generato randomicamente e visibile tramite applicazione specifica o SMS.

Nel caso in cui l’utente non abbia a disposizione il suo smartphone o la SIM si potrà inserire un codice di backup rilasciato da Dropbox (uno ed uno solo, ndr) che ci permetterà di andare a disabilitare la 2-step verification fino a quando torneremo in possesso della SIM o dello Smartphone sul quale è installato l’authenticator.

Si, lo voglio

Contrariamente alla più complessa (neanche tanto) 2-step verification di Google (vedi articolo) quella di Dropbox è molto più semplice e non riguarda i client già installati e funzionanti sui vostri computer. Come anticipato nel precedente paragrafo questa sarà necessaria solo per collegarsi al proprio pannello di controllo via web o per installare il client su una nuova macchina non ancora presente tra quelle collegate all’account.

Abilitarla è molto semplice, basterà collegarsi a Dropbox.com con le proprie credenziali e andare nelle impostazioni (o potete fare clic direttamente qui):

Dropbox: Settings

Quindi nella sezione Security scorrere la pagina fino ai dettagli dell’account in basso a sinistra e modificare lo stato della 2-step verification:

2-step verification: modifica dello stato

Nel mio caso (come da immagine) è già abilitata, nel vostro sarà impostata su “Disabled“, facendo clic su “change” comincerà il wizard di attivazione della nuova verifica doppia.

Wizard

Di una semplicità imbarazzante, la procedura guidata vi permetterà di abilitare la verifica in doppio passaggio:

Dropbox 2-step verification: comincia la configurazione!

Una volta partiti verrà immediatamente richiesto il metodo di autenticazione secondario. Io ho preferito l’applicazione installata su smartphone, questo perché -come per l’account Google- sarà possibile utilizzare l’applicazione sviluppata a Mountain View anche per generare codici validi per l’ingresso su Dropbox! In un solo colpo (e in una sola applicazioni) più codici sfruttabili:

Dropbox 2-step verification: scelta del metodo di autenticazione

Scegliendo la prima opzione ovviamente configurerete un numero di cellulare sul quale Dropbox invierà un SMS contenente il codice, anch’esso valido per un solo accesso. Utilizzando l’authenticator si arriverà invece ad una successiva schermata che proporrà un codice QR da “fotografare” direttamente dall’applicazione (ho rimosso ovviamente il codice QR dall’immagine qui di seguito):

Dropbox 2-step verification: codice QR da scansionare

Aprendo ora Google Authenticator (vedi paragrafo successivo per maggiori informazioni) sarà possibile fare clic sul pulsante “+” in basso a destra e selezionare la voce “Leggi codice a barre“, quindi fotografare il codice mostrato a video da Dropbox per aggiungerlo alla lista:

Dropbox 2-step verification: Dropbox su Google Authenticator

Prendete il codice appena generato dall’Authenticator e inseritelo nel box apparso nel sito web per un’ultima conferma:

Dropbox 2-step verification: conferma del codice generato

A meno di errori l’operazione è terminata e Dropbox richiederà ora una doppia autenticazione prima di dare accesso al vostro pannello web (o nuova installazione client)!

Dropbox 2-step verification: Congratulazioni! Hai attivato la 2-step verification!

Google Authenticator

L’applicazione nata per iOS / Android (gratuita, disponibile su AppStore: itunes.apple.com/it/app/google-authenticator/id388497605?mt=8 o su Play Store: play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) della quale ho discusso nell’articolo dedicato alla 2-step verification di Google, che consiglio a tutti di abilitare:

gioxx.org/2012/08/10/google-2step-verification

Qui c’è un documento che spiega come funziona: support.google.com/a/bin/answer.py?hl=en&answer=1037451, e come associarlo al proprio account: support.google.com/accounts/bin/answer.py?hl=en&answer=1066447.

In conclusione

Un’opzione da abilitare immediatamente e tenere attiva vita del vostro account natural durante. La sicurezza è un argomento di massima importanza, soprattutto quando si ha a che fare con ricordi preziosi, documenti personali e qualsiasi altro tipo di dato digitale ritenuto fondamentale per la vostra quotidianità. Dropbox si è finalmente allineata a quello che è il ragionamento di Google, e spero sinceramente che altri seguano l’esempio quanto prima.

Enjoy!

DokuWiki: automatizzare il backup dei dati con SyncBack

DokuWiki, per chi non lo conoscesse, è un software (uno dei tanti, ndr) che vi permette di avere sul vostro spazio web un Wiki completo di ogni dettaglio:

DokuWiki è un software lato server basato sulla filosofia wiki, scritto in PHP e utilizzabile senza database: i dati inseriti vengono infatti gestiti dal file system.

Il software è stato sviluppato con l’intento evidente di fornire un supporto adeguato a chi ha la necessità di pubblicare contenuti di tipo manualistico: il nome stesso, DokuWiki, non è altro che la contrazione di “documentation wiki”.

fonte: Wikipedia

L’articolo di oggi riguarda nello specifico la programmazione dei backup della piattaforma, studiati in modo da essere automatici e a cadenza regolare, affinché l’operazione impatti il meno possibile sulla persona che cura il sistema e venga eseguita senza la necessità di ricordarsene ogni volta (cosa che tipicamente fa cadere il backup nel dimenticatoio fino a quando qualcosa si spacca e c’è la necessità di rifare tutto da zero!).

Il documento che riporta ciò che c’è da salvare per un eventuale ripristino è disponibile all’indirizzo dokuwiki.org/faq:backup. Le cartelle sono davvero poche, il resto è pura piattaforma che potrete facilmente scaricare e reinstallare da zero in ogni momento.

Non so voi, ma a me basta un semplice prodotto in grado di connettersi ad uno spazio FTP e replicare i contenuti con una versione che si trova nel disco locale, opportunamente tenuto sotto backup. E’ il modo attraverso il quale mi accerto di non perdere dati e di poterli ripristinare in caso di necessità. Il tutto si riassume con un semplice prodotto gratuito che utilizzo con soddisfazione da anni: SyncBack Freeware, della 2BrightSparks.

Al solito, il consiglio è sempre lo stesso:

ATTENZIONE: Prima di eseguire qualsiasi modifica ai vostri file e/o dispositivi siete pregati di effettuare un backup di questi. Solo così sarete capaci di tornare indietro ponendo rimedio ad eventuali errori di distrazione. L’articolo e l’autore non possono essere ritenuti responsabili di alcun danno subito dalla vostra strumentazione. Buon lavoro.

Fa chiaramente sorridere parlare di “backup prima del backup” ma è proprio così. Non mettete in piedi questa nuova soluzione su un  software in produzione, magari sfruttate un’installazione demo o due cartelle sullo stesso disco (o anche su FTP) per provare che tutto funzioni correttamente.

Installazione e configurazione

Una volta scaricato dal sito web ufficiale basterà installarlo ed avviarlo per la prima volta per arrivare al wizard di prima configurazione. Non c’è nulla da scegliere se non il tipo di comportamento da applicare al profilo in creazione (Backup / Synchronization). Nel nostro caso si tratta del secondo citato, una sincronizzazione dei dati in locale con quelli presenti sul server (e viceversa). Facendo clic sul pulsante “Expert” nella finestra comparsa dopo la conferma del comportamento si potranno visualizzare tutte le opzioni disponibili:

SyncBack: finestra “Expert” per profilo di sincronizzazione

Questo mi permette di effettuare diverse personalizzazioni sul profilo, e magari inserire un paio di specifiche che possano permettermi di essere notificato in caso di fallimento dell’operazione. Vediamo nello specifico cosa fare.

Prima di tutto il resto: “FTP Destination”

Prima ancora di mettere mano ad altro, è bene far presente al software che la sincronizzazione avverrà tra una cartella in locale ed uno spazio FTP. Basterà fare clic sul pulsante che porta il nome del protocollo e specificare le informazioni di base utili alla connessione (hostname, nome utente e password), quindi fare un test di connessione facendo clic sul pulsante “Test FTP settings“. Se le informazioni sono corrette e il PC ha connessione verso internet senza particolari restrizioni, il test andrà a buon fine.

Sarà ora possibile fare clic sul pulsante con la cartella in corrispondenza della directory di destinazione per cominciare ad esplorare lo spazio FTP:

SyncBack: la destinazione si trova su uno spazio FTP

Facendo clic sul pulsante “OK” si confermerà al programma la cartella da utilizzare per la sincronizzazione. Inutile dire che dovrà essere la cartella padre, sotto la quale sono contenute le varie directory che ci interessano ;-)

Cosa copiare e perché

Rispettivamente “Advanced” e “Filter” (ho volutamente installato e tenuto SyncBack in inglese, lo preferisco nel caso in cui compaia qualche errore -in qualsiasi programma- poiché maggiormente ricercabile e risolvibile via internet), le due schermate che contengono il comportamento da adottare e cosa includere o lasciare fuori durante il processo di confronto e copia dei file in locale.

Il comportamento da adottare in questo caso è: i nuovi file sovrascrivono i vecchi già presenti, cancellare su locale i file che non sono più presenti sul server e -ovviamente- copiarli in locale se sono presenti sul server, partendo dal presupposto che la sorgente sia “locale” e la destinazione lo spazio FTP (unica modalità di funzionamento del software) si traduce con questo:

SyncBack: comportamento da adottare

Senza dimenticare però di specificare cosa verrà analizzato e copiato o ignorato. Secondo il documento ufficiale -infatti- va tenuto sotto backup un numero molto limitato di cartelle. Per questo motivo basterà isolarle nella schermata dedicati ai filtri:

SyncBack: i filtri per tenere sotto giusto backup DokuWiki

Tenendo l’asterisco nei file da copiare ma limitando le cartelle si otterrà il risultato desiderato. SyncBack analizzerà solo ed esclusivamente ciò che è contenuto nelle cartelle suggerite dallo stesso programmatore, permettendo di non occupare spazio disco inutilmente con dati facilmente recuperabili dal pacchetto di installazione pulito.

C’è tutto?

Diciamo di si, il profilo così com’è è già pronto per partire nonostante si possano ulteriormente personalizzare le impostazioni. Lascio a voi il compito di esplorare tutto quello che vi può permettere il software, può tornarvi comodo farvi notificare via mail (o direttamente con un file di log in HTML aperto in real-time sul browser predefinito) eventuali errori dell’operazione, così come lanciare operazioni o script prima o dopo l’operazione stessa.

SyncBack: schedulare l’operazione di backup

Sicuramente c’è la necessità di far si che l’operazione si ripeta in autonomia. Una volta salvato il profilo è importante fare clic sul pulsante “Schedule” e iniziare a specificare quando ripetere lo stesso tipo di operazioni, ricordandosi di inserire la vostra password di accesso al PC se volete che tutto funzioni anche se siete distanti dalla macchina (questa dovrà essere ovviamente accesa).

In conclusione

Programmi come SyncBack sono vere e proprie manne dal cielo per chi necessita di tenere sotto sincronizzazione o backup più cartelle o siti web. Entrare nell’ottica di dover schedulare questo tipo di operazioni giornalmente (o settimanalmente) è molto importante. Ricordatevi che un backup può decisamente salvare ore (se non giorni, mesi o addirittura anni) di lavoro che potrebbe andare perduto per una distrazione umana o un errore di sistema.

Ho voluto cogliere “due piccioni con una fava” per parlare di DokuWiki e di SyncBack, pubblicando un metodo papabile di backup, molto comodo e semplice da mettere in pratica. Se “dall’altro lato” (in locale, ndr) date in pasto una cartella di Dropbox la sicurezza aumenta ancora di più. Se anche l’operazione di SyncBack dovesse sfociare in errore, attraverso Dropbox potrete facilmente riportare la situazione alla normalità, e basterebbe variare un paio di opzioni in SyncBack per ottenere un rapido restore del vostro lavoro.

Basta poco, che ce vò!

Al solito: in caso di problemi l’area commenti è a vostra totale disposizione. Se vi chiedete quanti dati riesco a gestire tramite SyncBack beh, sappiate che i miei profili del software superano la trentina di entry, senza contare quelli che ho nei PC di casa! ;-)

Sicurezza: la 2-step verification di Google

Sarà il periodo poco fortunato per dei big nel campo tecnologico, sarà la sempre più forte pressione del dover tenere in sicurezza assoluta i propri dati, eppure durante questi giorni ho ricominciato a leggere e sentire della 2-step verification, una policy a disposizione di tutti gli utenti della grande G che personalmente utilizzo da circa un anno e che l’azienda sembra voler spingere sempre più per una diffusione capillare in questi giorni.

Di cosa si tratta?

Il concetto è semplice: per accedere al proprio account Google (collegato a sua volta a tutti i servizi offerti dalla stessa azienda o da terze parti che si appoggiano alla loro autenticazione oauth) potrà terminare con esito positivo solo utilizzando la password scelta dall’utente ed un codice a scadenza (breve) generato da Google tramite applicazione specifica, SMS o telefonata, o utilizzando uno tra i 10 codici di sblocco one-shot (moriranno subito dopo il loro utilizzo) generati per casi di emergenza.

Dove sta l’inghippo?

Detta così sembra molto semplice (e lo è, posso assicurarvelo, basta solo entrare nell’ottica di questo servizio). L’unica “complicazione” nasce dal fatto che sarà necessario creare accessi secondari per ciascuna applicazione che utilizza un account Google.

Cerco di spiegarmi meglio: Google Talk, Chrome Sync, Picasa Uploader e tantissime altre applicazioni anche di terze parti che fanno accesso ai dati salvati sui server Google hanno bisogno di una username (tipicamente ciò che precede @gmail.com) e la password (quella che avete scelto voi). Attivando la 2-step verification smetteranno di funzionare (errore di autenticazione fallita, ndr) e sarà necessario creare nel proprio pannello di sicurezza Google delle nuove password random che dovranno essere date in pasto a ciascun programma voi necessitiate. Stesso username, password sempre diversa (o unica, se volete generarne una che darete in pasto a tutti, ma lo sconsiglio fortemente).

Google 2-step verification: una parte degli account specifici creati.

Il vero vantaggio in questo specifico caso è che potreste creare una password di accesso ad un software che utilizza l’account Google e sfruttarla in posti “non sicuri” (internet cafè?) per poi distruggerla in un secondo momento. Questo impedirà al programma di continuare a funzionare anche se vi siete dimenticati di effettuare il logout. In caso di furto, ci sarà sempre la via d’uscita facile :-)

Fa parte dello stesso “circoletto” anche Mail su iOS, bisognerà quindi generare una password specifica da inserire nelle impostazioni dell’account di posta configurato sul vostro iPhone o iPad, occhio quindi alla facile distrazione ;-)

Si, lo voglio

Titolo del paragrafo stupido a parte, abilitare la 2-step verification richiede pochi minuti, un altro po’ di tempo verrà impiegato per rimettere a posto i programmi che necessitano di un accesso con password specifica.

Dalla propria pagina di Google (accounts.google.com) selezionare la voce “Sicurezza” sulla sinistra, quindi “Verifica in due passaggi” (il pulsante Modifica, ndr) per attivarla. Partirà una configurazione guidata che richiederà un numero di telefono valido per procedere (dove ricevere i codici di sicurezza ed effettuare la prima verifica):

Google 2-step verification: numero di telefono di riferimento

Una volta ricevuto il messaggio con il codice di conferma basterà inserirlo e procedere, tenendo spuntata l’opzione per rendere “attendibile” il PC dal quale state lavorando. Ciò permetterà di non richiedere il codice di verifica per i successivi 30gg (togliete il segno di spunta se non state utilizzando il vostro computer). A questo punto sarà sufficiente un’ultima conferma per attivare la verifica in due passaggi:

Google 2-step verification: configurazione completata, pronta all’attivazione!

Il lavoro è terminato per quello che riguarda il tipo di autenticazione ai servizi principali di Google. Serve ora creare accessi secondari per le applicazioni che utilizzano lo stesso account.

Le porte di servizio

Tutto quello che è collegato al vostro account Google (servizi di terze parti che hanno usato o continuano a utilizzare oauth) viene riepilogato nella stessa pagina dove sarà possibile creare gli accessi (le password, ndr) dedicati alle applicazioni installate sul vostro PC (e non solo): google.com/accounts/b/0/IssuedAuthSubTokens. Potete raggiungere la pagina sempre dal menu di sinistra (in Google Accounts) tramite “Sicurezza” ed in seguito il tasto Modifica in corrispondenza di “Autorizzazione di applicazioni e siti“. Vi verrà richiesta nuovamente la vostra password, quindi (se corretta) vi verrà mostrata la schermata riepilogativa.

Tanto per farvi un’idea, questa è parte della mia:

Google 2-step verification: tokens attivi

Scorrendo la schermata verso il basso troverete l’area dedicata alle ” Password specifiche per le applicazioni“, che vi ho mostrato nell’immagine poco dopo l’inizio dell’articolo. Un video girato proprio da Google spiega il perché della loro esistenza (e necessità) (fare clic qui per andare direttamente alla parte interessata):

Per poterne creare una basterà inserire il nome dell’applicazione o del servizio (o qualsiasi altra cosa possa essere facilmente ricordata) nel box apposito, quindi fare clic su “Genera password” per ottenerla:

Google 2-step verification: crea la nuova password

La password appena mostrata sarà visibile fino alla pressione del pulsante Fine o la chiusura della finestra. Non sarà successivamente consultabile e la si potrà solo revocare, quindi fate attenzione e non abbiate fretta di nasconderla, inseritela nel dispositivo o nella pagina web che ne fa richiesta e poi dimenticatela con tutta tranquillità, farete sempre in tempo a crearne una nuova:

Google 2-step verification: nuovo token

Si, ho già revocato quella che vedete in figura :-D

Non mi sembra poi così difficile, voi cosa ne pensate? :-)

E il codice come lo genero?

In diversi modi, ma quello più comodo (almeno nel mio caso) è far lavorare l’applicazione iOS / Android (gratuita, disponibile su AppStore: itunes.apple.com/it/app/google-authenticator/id388497605?mt=8 o su Play Store: play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) alla quale ho fatto (solo la prima volta) scansionare il codice QR per collegarla al mio account.

Mi basta quindi avviarla ogni volta che ne ho bisogno per sfruttare un codice appena generato (con scadenza a circa un minuto) per poter effettuare il login a doppia verifica su Google.

Qui c’è un documento che spiega come funziona: support.google.com/a/bin/answer.py?hl=en&answer=1037451, e come associarlo al proprio account: support.google.com/accounts/bin/answer.py?hl=en&answer=1066447.

In conclusione

L’ennesimo servizio volto alla maggiore sicurezza dell’utente, fino ad ora non mi ha mai giocato brutti scherzi e sembra essere affidabile al punto giusto.

Se anche voi volete proteggere un’identità digitale sempre più “preziosa“, basata su un account Google magari connesso a molteplici servizi e applicazioni (e -perché no- anche al telefono, soprattutto quando decidete di farlo diventare fonte principale di contatti, calendari e posta elettronica, ndr) sfruttare la verifica a doppio passaggio può avere senso.

Attivarla richiede (come descritto sopra) pochi minuti e sfruttarla nel tempo ancora meno, ci si fa presto l’abitudine, e nel caso dimenticaste il telefono a casa avete sempre a disposizione i 10 codici di emergenza che Google vi farà arrivare tramite posta, da stampare e portare con se.

Enjoy!

Firefox 13 e i problemi con Flash Player

Nuovo giro, nuovi problemi. Con l’arrivo di Flash 11.3 e Firefox 13 molti utenti hanno lamentato l’impossibilità di visualizzare video basati su player scritti in flash disponibili su una moltitudine di siti web internazionali, YouTube in primis.

Il problema è stato analizzato e risolto sul forum, rilevando un bug nel funzionamento della nuova Sandbox introdotta da Adobe per cercare di proteggere il più possibile il suo software dagli attacchi di terze parti: blogs.adobe.com/asset/2012/06/inside-flash-player-protected-mode-for-firefox.html.

Il bug è ora noto e la lavorazione porterà da ambo i lati al rilascio di nuovi versioni delle rispettive applicazioni. Nel frattempo per risolvere i colleghi di gruppo hanno localizzato la documentazione che serve a spiegarvi passo-passo il da farsi, già disponibile da giorni su SUMO: support.mozilla.org/it/kb/problemi-dopo-aggiornamento-flash-firefox.

Dato che un’ultima serie di passaggi suggeriti chiede di mettere mani all’interno delle cartelle del sistema operativo ho pensato di realizzare un piccolissimo script che possa aiutarvi nell’operazione automatizzandola. Ciò creerà un file di backup delle attuali impostazioni Flash della vostra macchina e ne inserirà di nuove in un file pulito che vanno poi ad escludere l’utilizzo dell’ancora poco compatibile Sandbox. Mi riferisco in particolare al paragrafo “Disattivare la modalità protetta per il plugin Flash” della documentazione italiana.

Firefox 13: Fix Flash Protected Mode for Firefox

Questo il codice:


:MMSCFGFOLDER
echo Verifica struttura sistema ...
if exist %windir%System32MacromedFlashmms.cfg set FOLDER=%windir%System32MacromedFlash
if exist %windir%syswow64MacromedFlashmms.cfg set FOLDER=%windir%syswow64MacromedFlash
if exist %FOLDER%mms.cfg ren %FOLDER%mms.cfg mms.cfg.backup && goto MODCFG
echo;
goto NOTFOUND
:MODCFG
echo Modifica file di configurazione ...
echo AutoUpdateDisable=0 >> %FOLDER%mms.cfg
echo SilentAutoUpdateEnable=1 >> %FOLDER%mms.cfg
echo ProtectedMode = 0 >> %FOLDER%mms.cfg
echo;
echo Provare ora a riaprire Firefox e verificare il corretto funzionamento di Flash.
goto END
:NOTFOUND
echo;
echo Non ho trovato il file di configurazione di Flash.
echo Chiedi supporto sul forum di Mozilla Italia
echo http://forum.mozillaitalia.org
echo;
pause
:END

Il fix già compilato (doppio clic e via) è disponibile all’indirizzo:

gfsolone.com/fix/Fx13-FlashFix.exe

Attenzione: il fix va lanciato come amministratore locale della macchina (o di dominio, se necessario), e accertatevi di aver chiuso Firefox prima di confermare l’avvio.

Una volta effettuata la verifica dell’esistenza della cartella sui sistemi a 32 e 64 bit, procede con il salvataggio del file di backup per poi inserire le stringhe di configurazione in un file pulito creato proprio dal fix. Riaprendo Firefox il problema non dovrebbe più presentarsi e i video torneranno a funzionare come in precedenza.

Entro breve Mozilla dovrebbe rilasciare Firefox 13.0.1 che permetterà alla nuova modalità di protezione Flash di funzionare correttamente. Nel frattempo potete adottare questo metodo che non necessita di ore di attesa per il rilascio ;-)

Buon lavoro!

Aggiornamento del 23/06/12
Per tutti coloro che avevano sperato in una risoluzione del problema grazie a Firefox 13.0.1, questo è un messaggio pubblicato stamane sul forum di supporto ufficiale:

Just a heads up that we are considering a 13.0.2 this weekend to help with the uptake of the new Flash update. Internal testing has had some very positive feedback on the reduction of crashes with the latest Flash update. I’ve been requesting feedback from the community on this and I haven’t seen anything substantial. This is specifically for crashes, not the other Flash issues with RealPlayer. If you have any info on the new Flash update, please let me know.

Aspettiamoci quindi un nuovo aggiornamento (Firefox 13.0.2) entro breve, con la speranza che possa finalmente mettere d’accordo la nuova modalità di Sandbox Adobe e il panda rosso di casa Mozilla.

Aggiornamento del 27/06/12
E ancora …

Just a note: because of the risk in taking the fix into 13.0.2, we’re delaying that while the fix is pushed to beta. It went out yesterday so we’ll be monitoring feedback for Firefox 14 for a few days to see if it regresses anything with plugins. In particular, we should pay attention to more obscure plugins like Java.

E Google disse: “Apriti Sesamo”

Letto, provato, servito, prima della buonanotte affinché arrivi ancora “caldo” nei vostri feed reader domattina, tra le prime letture, tra un caffè e la prima telefonata di lavoro!

La novità pare chiamarsi “Sesame” e non è altro che l’ennesimo metodo offerto da Google per evitare che le proprie credenziali finiscano nelle mani sbagliate. Un codice QR, uno scanner per poterlo leggere e un telefono capace di collegarsi ad internet per autenticarsi al centro account di Google, è tutto ciò che vi serve per accedere da qualsiasi postazione alle vostre risorse, senza preoccuparsi che un keylogger o qualsiasi altro intruso possano rovinarvi la festa, ammesso che vi fidiate del vostro telefono :-)

Si parte da qui:

accounts.google.com/sesame

così che venga generato e mostrato il codice QR da far scansionare al vostro telefono:

Google Sesame: Codice QR

Personalmente utilizzo “Scan” di QR Code City, disponibile gratuitamente in AppStore per iPhone e iPad. Esistono miriadi di applicazioni dello stesso tipo sull’AppStore, sull’Android Market, sul Windows Phone Market e sul BlackBerry App World, a voi la scelta.

Il funzionamento è davvero semplice:

  • fate partire la scansione del QR, questa vi porterà alla schermata di autenticazione di Google Accounts;
  • inserite i vostri dati di autenticazione e accedete confermando che siete stati voi ad avviare la richiesta di accesso tramite codice QR;
  • attendete che il PC “faccia il resto“, la pagina infatti modificherà in completa autonomia l’URL di destinazione permettendovi di entrare in GMail (o iGoogle) senza che voi abbiate digitato le credenziali sul PC, sarà il server di Google ad autorizzare l’ingresso.

QR Scan: Google Sesame (clicca per vedere l'intera schermata)

Inutile dirlo ma è sempre bene: non dimenticatevi di effettuare un logoff al termine della sessione di lavoro!

Aggiornamento 17/01/12 14.30
Come sfortunatamente fatto notare da Vik nei commenti (e su alcuni altri blog italiani arrivati pian piano sulla notizia), quello di Google era solo un esperimento, che è stato chiuso alla velocità della luce non appena ha cominciato ad essere troppo conosciuto e visitato dal web. Questo è il messaggio se si prova a visitare ora la pagina web di Sesame:

Hi there – thanks for your interest in our phone-based login experiment.While we have concluded this particular experiment, we constantly experiment with new and more secure authentication mechanisms.

Stay tuned for something even better!

Dirk Balfanz, Google Security Team.

Page 5 of 26« First...«34567»...Last »