[The password saga] Il doppio passo

Qualche giorno fa è stata pubblicata la classifica delle password più scadenti dello scorso anno 2014 (cfr. http://bit.ly/badpassword2014)

Per ovviare a questa evidente debolezza umana, molti servizi online hanno iniziato ad offrire la possibilità di attivare l’autenticazione a due passaggi.

  • Cosa è? E’ un metodo che introduce una seconda richiesta di autenticazione, richiedendo dopo la verifica positiva della classica accoppiata utenza&password  un ulteriore codice o password valido solo in quel preciso momento.
  • A cosa serve? Serve ad aumentare il livello di sicurezza, perché il secondo codice è di tipo One-Time-Password (OTP), ossia si usa una volta e poi è bruciato, inutilizzabile. Inoltre è spesso generato “on the fly” (al volo, per dirla nel mio dialetto!), ossia viene generato periodicamente e dura un tempo prestabilito, normalmente 60 secondi.
  • Come ottengo il secondo codice? Beh, questo dipende. Alcuni servizi si appoggiano ad applicazioni in grado di generare il codice sul nostro smartphone o PC (caso 1), altri consentono l’invio tramite SMS (caso 2), altri ancora direttamente con una richiesta all’interno dell’app.
  • Ma tu l’hai mai fatto? Si, provo ad andare con ordine. Nel primo caso, ad esempio, io ho installato l’app Google Authenticator sul mio smartphone e ho attivato la “two-step Verification” su Gmail. Tra i vari metodi, consente di associare il mio account ad un’app (Google Authenticator per l’appunto) in modo tale che, da quel momento in poi, dopo utenza e password per accedere alla mia Google Mail devo anche inserire un codice a tempo che leggo sullo schermo del mio smartphone. E’ ovvio che sul PC personale questo metodo può diventare fastidioso, specialmente se siamo “mail addicted” e guardiamo la nostra casella di posta 100 volte al giorno. Per ovviare, è possibile considerare “Trust” (fidato) il nostro PC dal quale stiamo leggendo la mail e quindi la “two-step authentication” non verrà più richiesta su quel PC. Stesso discorso vale anche per le app: in questo caso si genera una password ad-hoc per l’app GMAIL da inserire una sola volta. Se dovessi smarrire lo smartphone, basterà disabilitare e cancellare quella password è il ladro non potrà più accedere alla casella di posta. Funziona con la stessa modalità anche Dropbox e molti altri servizi usano questo metodo.
    Per il secondo e terzo caso, invece, prendo a riferimento Twitter. Il metodo a due passaggi di Twitter consente di verificare l’accesso direttamente nell’app sullo smartphone oppure di inviare il codice tramite SMS. Semplice ed immediato.
  • Quali servizi usano la 2-step authentication? Ce ne sono molti, non è certo un elenco esaustivo. L’opzione viene chiamata con nomi diversi, ma si trova in genere sempre nella sezione “Sicurezza” della configurazione. Tra i più famosi ed utilizzati:
    • Gmail
    • Twitter
    • Yahoo Mail
    • Facebook
    • Microsoft Live
    • Evernote
    • Dropbox
    • Paypal
    • ID Apple
    • Amazon Web Services (AWS)

 

Concludendo. Se abbiamo a cuore la riservatezza dei nostri dati e delle applicazioni a cui accediamo on-line, dovremmo sempre e comunque cercare di abilitare la “two-step authentication” qualora ce ne sia la possibilità. E’ un piccolo sforzo che però aiuta a prevenire grosse perdite.

Leave a Comment

Filed under Sicurezza, Spunti di riflessione

Rispondi