Google, NUMERO DI TELEFONO NON PIÙ RICHIESTO PER LA VERIFICA IN DUE PASSAGGI
La verifica in due passaggi di Google è un’opzione di Sicurezza aggiuntiva progettata per proteggere l’account di ciascun utente da accessi non autorizzati. Funziona aggiungendo un secondo livello di verifica, che va ad affiancarsi all’inserimento della password corretta al momento del login. La novità è che d’ora in avanti, come annunciato dall’azienda di Mountain View, non è più necessario un numero di telefono, tipicamente un’utenza mobile, per abilitare la verifica in due passaggi.
COSA SIGNIFICA CHE GOOGLE NON RICHIEDE PIÙ IL NUMERO DI TELEFONO PER LA VERIFICA IN DUE PASSAGGI
In un altro articolo abbiamo visto cos’è la verifica in due passaggi e come funziona. In una nota, da poco comparsa online, Google spiega che nell’intento di semplificare le cose, d’ora in avanti sarà possibile attivare la verifica in due passaggi (2SV, Two-Step Verification) senza specificare alcun numero di telefono personale.
Sebbene l’articolo pubblicato da Google evidenzi il fatto che questa modifica aiuterà gli amministratori ad applicare le policy 2SV nelle loro organizzazioni (si pensi a tutte le realtà che si servono della piattaforma Google Workspace), la decisione sarà certamente gradita a tutti gli utenti.
L’abbiamo detto in tutte le salse: usare gli SMS come secondo fattore è una pratica sconsiderata. I codici di conferma inviati tramite SMS, possono infatti essere facilmente oggetto di furti. Per questo è importante affidarsi ad altre metodologie molto più sicure.
QUALI MECCANISMI DI AUTENTICAZIONE POSSONO ESSERE UTILIZZATI SU GOOGLE
Mettendo da parte l’inserimento del numero di telefono, Google da oggi permette di abilitare la verifica in due passaggi usando tre differenti strumenti:
– CODICI OTP GENERATI SU UN’App DEDICATA. Dopo il login con nome utente e password corretti, si può utilizzare un’app di autenticazione come Google Authenticator o Microsoft Authenticator per la generazione di codici OTP. Esistono però tante applicazioni alternative open source per l’autenticazione: tra queste ci sono, ad esempio, Aegis per Android, 2FAS per Android/iOS o Ente Auth (Android/iOS).
– TOKEN DI SICUREZZA Hardware. Al posto del numero di telefono e quindi dell’invio di SMS, Google permette di usare chiavette di sicurezza hardware come YubiKey. Anche queste permettono di proteggere efficacemente l’account utente. Google afferma che i token verranno registrati come FIDO1, anche se la chiave supporta FIDO2.
– PASSKEY. Come ulteriore alternativa, è possibile creare una passkey associata all’account Google: il sistema la gestirà come una credenziale FIDO2. In un altro articolo abbiamo provato a mettere in luce vantaggi e svantaggi delle passkey, strumento di autenticazione e autorizzazione che vuole essere anche un’alternativa alle password e sul quale Google, così come molte altre aziende, stanno investendo tantissimo.
SALVAGUARDIE AGGIUNTIVE PER GLI UTENTI CHE DISABILITANO LA VERIFICA IN DUE PASSAGGI
Nel suo breve intervento, i portavoce di Google aggiungono che quando un utente che aveva abilitato la verifica in due passaggi per il proprio account disabilita l’impostazione, gli altri secondi fattori non saranno più rimossi automaticamente. Si pensi ai codici di backup, alle applicazioni collegate che generano codici OTP, allo Smartphone usato come secondo fattore.
La misura sembra essere volta a fornire salvaguardie addizionali per gli utenti. In alcuni circostanze, infatti, la disattivazione della verifica in due passaggi poteva mettere gli utenti nelle condizioni di non essere più in grado di accedere agli account. Con le modifiche appena applicate, non si correrà più questo rischio.
Inoltre, come osservato in precedenza, le modifiche applicate al processo di verifica in due passaggi non è esclusivo degli utenti Google workspace ma è esteso a tutti, compresi coloro che si servono di account personali.
Google tiene a precisare che le modifiche applicate al sistema di verifica in due passaggi sono attualmente in fase di dispiegamento e che potrebbe passare un po’ di tempo prima che risultino disponibili per l’intera base di utenti.